La seguridad de los contenedores cumple con Kubernetes: lo que los profesionales de TI deben saber


Docker trajo contenedores a la empresa el escaneo estático asegura que sean seguros cuando se crean las imágenes. ¿Quién los mira cuando corren?

seamless-pattern-with-k8s-docker-webpack-illustration-id1187821796.jpg

Imagen: Oleg Mishutin, Getty Pictures / iStpckPhoto

Docker hizo posible tener una copia exacta de los elementos centrales del sistema operativo y el código de la aplicación en un único archivo manejable. BusyBox, la imagen Docker más uncomplicated lista para producción, tiene solo 2.1MB. Eso es lo suficientemente pequeño como para controlar el management de versiones y lo suficientemente pequeño como para copiar en la purple. Es lo suficientemente pequeño como para que se pueda escanear cada compilación de seguridad.

Ese escaneo en un punto en el tiempo suena impresionante, pero no es suficiente.

VER: Guía de seguridad de Kubernetes (PDF gratuito) (TechRepublic)

Los contenedores de producción son computadoras que se ejecutan en una crimson que es un clúster, probablemente Kubernetes. Una vez que se están ejecutando, cualquier administrador puede asegurarles shell y cambiar la configuración o los permisos. Para el caso, Kubernetes permite que cada sistema se comunique con todos los demás sistemas de forma predeterminada. Los auditores tienden a preocuparse más por la seguridad de los sistemas de producción, no por algunas imágenes en el manage de versiones. Eso significa endurecer para HIPPA, PCI, SarBox y otros estándares, junto con producir los informes que los auditores quieren ver.

Como Homer Simpson dijo una vez: «¿No puede alguien más hacerlo?»

Balanceando tu pila

En lugar de ejecutar una parte de la compilación en un servidor de compilación, StackRox es un producto de seguridad nativo de la nube. Se ejecuta dentro de Kubernetes, con suficientes privilegios para inspeccionar cada nodo en el clúster. Puede inspeccionar el cumplimiento de los nodos, pero también cómo se configura Kubernetes. Una vez que las políticas están en su lugar, un administrador no debería poder iniciar sesión en un contenedor y cambiarlo. StackRox realmente puede monitorear la interacción entre contenedores, creando un archivo YAML con cambios de política, para limitar las comunicaciones de pod a pod a lo que deberían ser. Como dice Michelle McLean, directora de comunidad de StackRox: «Extraiga un contexto rico de Kubernetes, luego empuje las políticas a Kubernetes».

McLean ve esto como una herramienta para llevar la Seguridad a DevOps. Ella explica «Puenteamos la seguridad y DevOps. DevOps está tratando de aprender cómo ejecutar y configurar Kubernetes. La seguridad comprende el cumplimiento y la auditoría, pero no comprende la infraestructura lo suficiente como para obtener esa información». Más allá de eso, ni siquiera hablan el idioma para hacer las preguntas.

VER: ¿Qué es kubernetes? (PDF gratis) (TechRepublic)

Con la website y los microservicios expuestos a Internet abierto, un auditor de tiempo de ejecución nativo en la nube puede determinar si alguien está ejecutando un ataque de escaneo de puertos, examinando los procesos en ejecución en el contenedor. Del mismo modo, la herramienta puede decir qué procesos se ejecutan como root.

El producto también tiene el panel y las herramientas de visualización que esperaría, pero eso no resuelve el problema de auditoría, junto con la capacidad de exportar informes en formato .csv para el cumplimiento, según el estándar de cumplimiento.

En lugar de forzar otro tablero, McLean quiere empujar datos a donde los consumidores de los datos en vivo. Por seguridad, eso podría ser splunk para DevOps puede ser PagerDuty o SumoLogic.

¿Dónde están los datos?

También hablé con Jeff Morris, vicepresidente de promoting de productos de Couchbase, sobre la seguridad de los contenedores. Jeff señaló que donde se alojan los datos puede simplificar las operaciones. Por ejemplo, algunos proveedores de servicios en la nube, especialmente Application As a Support (SaaS), almacenan sus datos en sus servidores. Morris dio a Salesforce como ejemplo, junto con muchos proveedores de bases de datos «como servicio». StackRox, como Couchbase, puede ejecutarse completamente en la nube digital o privada del cliente. En lugar de alquilar horas de CPU, Couchbase cobra una tarifa de administración basic y le permite al cliente encontrar el almacenamiento más rentable, hasta el metallic desnudo.

Ciertamente hay un montón de productos de seguridad de contenedores StackRox es uno. Istio es un proyecto de código abierto que viene a la mente.

La superposición de Istio con la seguridad de Kubernetes

Istio es otro popular programa de código abierto que se ejecuta en un clúster de Kubernetes y permite a los usuarios configurar políticas de seguridad. Al igual que StackRox, Istio puede monitorear el tráfico entre pods, limitar el tráfico para seleccionar interacciones e incluso crear y requerir políticas de autenticación. Dado que todas las nubes públicas de Kubernetes lo admiten, ¿de qué sirve una herramienta comercial?

McLean se refiere a la diferencia como manzanas a naranjas. En términos de Modelo OSI, StackRox funciona en la «capa de crimson» o nivel tres, monitoreando el tráfico en la red. Es decir, qué nodos se comunican entre sí. Istio monitorea en la capa de aplicación, nivel siete. Puede conocer los protocolos de seguridad, los puertos y las diferentes aplicaciones que se ejecutan dentro de un nodo y cómo deben conectarse. También puede cifrar esa comunicación y proporcionar información de depuración. Según McLean, «Istio no es un producto de seguridad es un producto de configuración de malla de servicio».

VER: Lanzamientos de Kubernetes: 5 mejores prácticas de seguridad (TechRepublic)

En mi experiencia personal, Istio puede requerir una gran cantidad de ancho de banda, memoria y CPU. Al igual que StackRox, se encuentra en el mismo clúster. Sin embargo, aproximadamente duplica la cantidad de mensajes, ya que los contenedores Istio necesitan recibir todos los mensajes, almacenarlos en una base de datos, agregarlos y mostrar los resultados como un tablero. McLean tiene cuidado de no criticar demasiado el producto, pero está de acuerdo en que puede configurarse fácilmente de manera incorrecta para consumir el exceso de recursos.

Puede ser más fácil dejar que alguien más lo haga.

Ver también



Enlace a la noticia original