Siete funciones clave para Kubernetes y la seguridad de los contenedores
Uptycs combina la detección de amenazas para Kubernetes y los tiempos de ejecución de contenedores, junto con el análisis automatizado del registro y las comprobaciones de refuerzo de Kubernetes. Estos son los aspectos más destacados.
Muchas organizaciones se están iniciando en el uso de Kubernetes y contenedores, mientras que otras se enfrentan a problemas de complejidad a medida que amplían sus despliegues. Las aplicaciones en contenedores aportan muchas ventajas, pero también introducen nuevos tipos de retos de seguridad.
En este sentido, Uptycs reduce el riesgo para sus cargas de trabajo de contenedores en la nube y locales al priorizar sus respuestas ante amenazas, vulnerabilidades, configuraciones erróneas, exposición de datos confidenciales y mandatos de cumplimiento, todo desde una única plataforma, interfaz de usuario y modelo de datos. Uptycs ofrece detección de amenazas para tiempos de ejecución de contenedores correlacionados con ataques al plano de control de Kubernetes. El producto también admite el análisis de imágenes de contenedores en registros en busca de vulnerabilidades, malware, credenciales, claves secretas y otra información confidencial. Estas capacidades están disponibles para despliegues de Kubernetes autogestionados, así como para servicios gestionados como Amazon Elastic Kubernetes Service, Azure Kubernetes Service y Google Kubernetes Engine.
Estas soluciones de Uptycs favorecen una mayor coordinación entre equipos, la eliminación de silos de datos para despliegues de Kubernetes y contenedores, una detección de amenazas y tiempos de respuesta más rápidos, y una rápida identificación de riesgos como configuraciones erróneas y vulnerabilidades.
eBPF en despliegues de contenedores Linux
La base de la observabilidad en tiempo de ejecución de los contenedores Uptycs es la tecnología de filtro de paquetes Berkeley ampliado (eBPF). El sensor Uptycs utiliza eBPF para capturar eventos de procesos, archivos y sockets en el núcleo de Linux. eBPF ofrece observabilidad de seguridad en tiempo real, velocidad y conveniencia para monitorear un volumen extremadamente alto de datos de eventos. Es, por tanto, una forma segura de interactuar con el núcleo de Linux y una alternativa preferible a conectarse al marco auditd. También es un compilador justo a tiempo (JIT). Una vez compilado el código de bytes, se invoca a eBPF en lugar de realizar una nueva interpretación del código de bytes para cada método.
Con eBPF, Uptycs inserta sondas en el núcleo de Linux para supervisar los eventos de interés. Esto ocurre cuando el sensor se inicia y devuelve la información al proceso de tierra de usuario, reduciendo en gran medida la utilización de recursos necesaria para una supervisión de seguridad en profundidad. eBPF se configura fácilmente para este proceso y no crea retrasos en la implementación.
eBPF le ofrece un único marco de trazado unificado, potente y accesible para el trazado de procesos. El uso de eBPF ayuda a aumentar la riqueza de funciones de un entorno sin añadir capas adicionales. Asimismo, como el código de eBPF se ejecuta directamente en el núcleo, es posible almacenar datos entre eventos de eBPF en lugar de volcarlos como hacen otros trazadores.
Detección de amenazas al tiempo de ejecución de los contenedores
La ampliación de los despliegues de contenedores implica más activos efímeros que los equipos deben asegurar y proteger. Utilizando la telemetría detallada recopilada a través de eBPF, Uptycs es capaz de detectar comportamientos maliciosos en tiempo real, asignando las detecciones al marco Mitre Attack. Uptycs detecta amenazas en nodos y contenedores en ejecución, capturando telemetría granular de nodos y contenedores que cubre eventos de procesos, eventos de archivos, búsquedas DNS, eventos de sockets y más.
Los datos se normalizan en tiempo real en tablas SQL, lo que facilita la creación de marcos de detección complejos que encadenan cientos de señales. Más de 200 reglas de Yara analizan los binarios en busca de firmas de malware, mientras que más de 1.300 reglas de comportamiento supervisan las señales procedentes de la telemetría de eventos en tiempo real.
Bloqueo del plano de control de Kubernetes
El plano de control de Kubernetes es un objetivo muy valioso para los atacantes. Desde el plano de control, los atacantes pueden crear contenedores privilegiados, capturar normas de configuración y adentrarse en la infraestructura de su nube. Uptycs captura más de 50 tablas de telemetría que cubren todos los objetos de Kubernetes a través de pods, despliegues, configmaps, entradas, RBAC y más.
Esta telemetría proporciona visibilidad multiclúster del cumplimiento, las amenazas y las vulnerabilidades a través de una única fuente. Desde una vista macro hasta una vista granular de espacios de nombres, pods y cargas de trabajo, la telemetría de Uptycs pretende responder a cualquier pregunta sobre la infraestructura, desde la visibilidad del cumplimiento hasta las amenazas en tiempo de ejecución.
Por ejemplo, desde un plano de control de Kubernetes comprometido, los atacantes buscarán contenedores privilegiados o crearán ellos mismos contenedores privilegiados. Uptycs supervisa los comandos para pods privilegiados que se crean en sus clústeres Kubernetes, deteniendo a los atacantes durante el proceso de creación de estos ataques y animando a los usuarios a crear contenedores inmutables con los permisos justos en lugar de despliegues con privilegios excesivos.
Unificación de los datos del plano de control y del plano de datos
Los atacantes no piensan en silos, por lo que es vital que los datos de las diferentes secciones de la infraestructura de Kubernetes estén correlacionados para rastrear las acciones de los atacantes. Los actores de las amenazas buscan constantemente en toda la infraestructura, intentando escapar de los ataques a los contenedores. Los equipos luchan por correlacionar las amenazas en tiempo de ejecución de los contenedores en funcionamiento y el plano de control de Kubernetes debido a la dificultad de capturar, almacenar y procesar estas dos fuentes de datos juntas. Uptycs captura datos del plano de control y del plano de datos, uniendo estas fuentes en tiempo real para obtener capacidades de detección instantáneas.
Escaneado del registro fácil para el desarrollador
El análisis del registro es una parte crucial de la seguridad de las operaciones de desarrollo. Los despliegues son cada vez más rápidos y es vital que las imágenes de los contenedores sean "doradas" antes de que se ejecuten. La carga se está desplazando cada vez más hacia la izquierda, y los equipos de seguridad necesitan formas fiables y fluidas de apoyar los procesos de desarrollo. Ya no basta con detectar vulnerabilidades. Se necesitan formas de priorizarlas.
Coordinar los esfuerzos de corrección entre los equipos de desarrollo, operaciones y seguridad es una tarea difícil. Para ayudar a guiar a estos equipos, Uptycs proporciona un contexto crucial a través de indicadores inteligentes para indicar no sólo qué vulnerabilidades están presentes, sino también cómo priorizar los esfuerzos de remediación. No basta con proporcionar una puntuación de gravedad. Los equipos necesitan saber si los puertos de red están abiertos a Internet o si el software en cuestión se está ejecutando realmente.
Uptycs puede escanear su registro de contenedores en busca de 60.000 CVE de Linux y 7 millones de indicadores. El análisis automatizado incorpora nuevos CVE a medida que se publican para supervisar y actualizar sin problemas la postura de seguridad de un registro. Los registros compatibles son JFrog Artifactory, Amazon Elastic Container Registry, Google Container Registry, Azure Container Registry y Docker Hub.
Descubrir secretos incrustados
Los secretos públicos e incrustados se están convirtiendo rápidamente en un punto de entrada común para los atacantes, una tendencia subrayada a finales de 2022 cuando los atacantes pusieron en peligro Uber robando credenciales codificadas en scripts de PowerShell. Con Uptycs, puede analizar imágenes en busca de secretos incrustados mediante reglas de Yara y más de 100 alertas basadas en regex, incorporadas a su canal de CI/CD para Jenkins, GitLab y GitHub Actions. Puede ayudar aún más al equipo de desarrollo impidiendo que las compilaciones de imágenes lleguen a producción cuando se descubran secretos.
Comprobaciones de refuerzo de NSA para implantaciones de Kubernetes
Su plano de control de Kubernetes es el servidor API central de comando y control para sus despliegues de contenedores. Como tal, requiere la máxima seguridad, y las imágenes en tiempo de ejecución también necesitan más protección y refuerzo. Por este motivo, la NSA y CISA han publicado amplias directrices sobre el refuerzo de K8s y las implantaciones en tiempo de ejecución de contenedores mediante configuraciones publicadas para la seguridad de los pods y la segmentación de la red.
Estas normas publicadas mitigan la amenaza de tres objetivos principales de los atacantes: DDoS para derribar contenedores en ejecución, secuestro de contenedores para convertirlos en criptomineros y exfiltración de datos. Uptycs ha traducido estas normas de las directrices de la NSA en normas de cumplimiento. Así, por ejemplo, aplicar un conjunto de reglas "Denegar el acceso a contenedores con HostPID" es tan fácil como activar el conjunto de reglas. Entonces, después de que un contenedor se lanza desde su plano de control de Kubernetes, su tiempo de ejecución se validará continuamente contra la lista de comprobaciones de endurecimiento de la NSA durante el tiempo de ejecución para garantizar que un atacante no ha modificado el contenedor para escalar privilegios o que los contenedores no se están desviando de su imagen dorada.
