Protección de contenedores con NIST 800-190 y MVISION CNAPP


Las organizaciones gubernamentales y del sector privado están transformando sus negocios al adoptar los principios de DevOps, los patrones de diseño de microservicios y las tecnologías de contenedores en entornos locales, en la nube e híbridos. La adopción de contenedores se está convirtiendo en una corriente principal para impulsar la transformación electronic y el crecimiento empresarial y para acelerar la velocidad de los productos y las funciones. Las empresas se han movido rápidamente para adoptar la infraestructura y las aplicaciones nativas de la nube para aprovechar los sistemas de los proveedores de la nube y alinear sus decisiones de diseño con las propiedades de la nube de arquitecturas de escalabilidad, resiliencia y seguridad. La naturaleza declarativa de estos sistemas permite numerosas ventajas en el desarrollo y la implementación de aplicaciones, como ciclos de desarrollo e implementación más rápidos, correcciones de errores y parches más rápidos y flujos de trabajo de construcción y monitoreo consistentes. Estos principios de diseño optimizados y bien controlados en las tuberías de automatización conducen a una entrega de funciones más rápida e impulsan la diferenciación competitiva.

A medida que más empresas se adaptan a las arquitecturas nativas de la nube y se embarcan en estrategias de múltiples nubes, las demandas están cambiando los patrones de uso, los procesos y las estructuras organizativas. Sin embargo, los métodos únicos mediante los cuales se crean, implementan, conectan en purple y operan los contenedores de aplicaciones presentan desafíos únicos al diseñar, implementar y operar sistemas de seguridad para estos entornos. Son efímeros, a menudo demasiado numerosos para contarlos, se comunican entre sí a través de nodos y clústeres más de lo que se comunican con los puntos finales externos y, por lo basic, forman parte de tuberías de integración continua / implementación continua (CI / CD) de rápido movimiento. Además, las cadenas de herramientas de desarrollo y los ecosistemas de operaciones continúan presentando nuevas formas de desarrollar y empaquetar códigos, secretos y variables de entorno. Desafortunadamente, esto también agrava los riesgos de la cadena de suministro y presenta una superficie de ataque cada vez mayor.

La falta de una estrategia integral de seguridad de contenedores o, a menudo, no saber por dónde empezar puede ser un desafío para abordar de manera efectiva los riesgos presentados en estos ecosistemas únicos. Si bien los equipos han reconocido la necesidad de desarrollar sus cadenas de herramientas y procesos de seguridad para adoptar la automatización, es imperativo que integren controles específicos de seguridad y cumplimiento desde el principio en sus respectivos procesos de DevOps. Existen preocupaciones legítimas que persisten acerca de las configuraciones incorrectas y los riesgos de tiempo de ejecución en las aplicaciones nativas de la nube, y todavía muy pocas organizaciones tienen un plan de seguridad sólido.

Estas complejas definiciones de problemas han llevado al desarrollo de una publicación especial del Instituto Nacional de Estándares y Tecnología (NIST) – NIST SP 800-190 Software Stability Container Guidebook. Proporciona pautas para proteger las aplicaciones de contenedores y los componentes de infraestructura, incluida una revisión seccional de los fundamentos de los contenedores, los riesgos clave presentados por los componentes centrales de las tecnologías de contenedores de aplicaciones, contramedidas, ejemplos de escenarios de amenazas e información procesable para planificar, implementar, operar y mantener el contenedor. tecnologías.

MVISION Cloud Native Software Safety System (CNAPP) es una plataforma de seguridad integral de dispositivo a nube para visibilidad y command en plataformas SaaS, PaaS e IaaS. Proporciona una amplia cobertura de los controles de seguridad nativos de la nube que se pueden implementar durante todo el ciclo de vida de la aplicación. Al mapear todos los elementos de riesgo y contramedidas aplicables de las Secciones 3 y 4 de NIST SP 800-190 a las capacidades dentro de la plataforma, queremos proporcionar un punto de referencia arquitectónico para ayudar a los clientes y socios de la industria a automatizar el cumplimiento e implementar las mejores prácticas de seguridad para contenedores. cargas de trabajo de aplicaciones. Este mapeo y una revisión detallada de las capacidades de la plataforma alineadas con contramedidas clave se pueden consultar aquí.

Como se describe en uno de los gráficos de apoyo en el documento técnico, CNAPP tiene capacidades que abordan de manera efectiva todos los elementos de riesgo descritos en la guía de publicación especial del NIST.

Si bien la amplitud de la cobertura es basic, vale la pena señalar que la forma más eficaz de proteger las aplicaciones en contenedores requiere incorporar controles de seguridad en cada fase del ciclo de vida del contenedor. Si aprovechamos la guía de diseño de referencia de DevSecOps empresarial del Departamento de Defensa como punto de referencia, describe el ciclo de vida de DevSecOps en términos de nueve etapas de transición que incluyen planificar, desarrollar, construir, probar, lanzar, entregar, implementar, operar y monitorear.

Ciclo de vida del software package DevSecOps: referenciado en la guía de diseño de referencia de DevSecOps de DoD Enterprise v1.

El principio elementary de las implementaciones de DevSecOps es que el ciclo de vida del desarrollo de software no es un proceso lineal monolítico. La entrega de estilo “big bang” del proceso Waterfall SDLC se reemplaza con entregas pequeñas pero más frecuentes, de modo que sea más fácil cambiar de rumbo según sea necesario. Cada pequeña entrega se logra a través de un proceso completamente automatizado o un proceso semiautomático con una mínima intervención humana para acelerar la integración y entrega continuas. El ciclo de vida de DevSecOps es adaptable y tiene muchos ciclos de retroalimentación para una mejora continua.

Específicamente para cargas de trabajo y aplicaciones en contenedores, una vista más abstracta del ciclo de vida de un contenedor abarca tres fases de alto nivel de Construir, Desplegary correr.

Construir

Los «Construir”La fase se centra en lo que termina dentro de las imágenes del contenedor en términos de los componentes y capas que componen una aplicación. Generalmente creado por los desarrolladores, los esfuerzos de seguridad generalmente se enfocan en reducir el riesgo comercial más adelante en el ciclo de vida del contenedor mediante la aplicación de las mejores prácticas y la identificación y eliminación temprana de vulnerabilidades conocidas. Estas evaluaciones se pueden realizar en un ciclo «interno» de manera iterativa a medida que los desarrolladores realizan compilaciones incrementales y agregan pruebas de seguridad y automatizadas o se pueden conducir a través de un ciclo de retroalimentación «externo» impulsado por revisiones de seguridad operativa y esfuerzos de pruebas de penetración.

Desplegar

En el «Desplegar”, Los desarrolladores configuran aplicaciones en contenedores para su implementación en producción. El contexto va más allá de la información sobre imágenes para incluir detalles sobre las opciones de configuración disponibles para los servicios orquestados. Los esfuerzos de seguridad en esta fase a menudo se centran en cumplir con las mejores prácticas operativas, aplicar principios de privilegios mínimos e identificar configuraciones incorrectas para reducir la probabilidad y el impacto de posibles compromisos.

Tiempo de ejecución

«Tiempo de ejecución”Se clasifica en términos generales como una fase separada en la que los contenedores entran en producción con datos en vivo, usuarios en vivo y exposición a redes que pueden ser de naturaleza interna o externa. El propósito principal de implementar la seguridad durante la fase de tiempo de ejecución es proteger las aplicaciones en ejecución, así como la infraestructura de contenedores subyacente mediante la búsqueda y detención de actores maliciosos en tiempo authentic.

Ciclo de vida de la aplicación en contenedor de Docker.

Al aplicar esta comprensión de las etapas del ciclo de vida del contenedor a las respectivas contramedidas que se pueden implementar y auditar dentro de MVISION Cloud, los clientes de CNAPP pueden establecer una postura de seguridad óptima y lograr sinergias de los modelos de seguridad de tiempo de ejecución y cambio a la izquierda. Las evaluaciones de seguridad son de important importancia al inicio de la planificación y el diseño, donde se toman decisiones importantes sobre el enfoque de la arquitectura, las herramientas de desarrollo y las plataformas tecnológicas y donde los errores o malentendidos pueden ser peligrosos y costosos. A medida que los equipos de DevOps mueven sus cargas de trabajo a la nube, los equipos de seguridad deberán implementar las mejores prácticas que apliquen las operaciones, el monitoreo y los controles de seguridad en tiempo de ejecución en los modelos de consumo de la nube pública, privada e híbrida.

CNAPP primero descubre todos los componentes nativos de la nube asignados a una aplicación, incluidos hosts, servicios IaaS / PaaS, contenedores y el contexto de orquestación en el que opera un contenedor. Con el uso de etiquetado nativo y análisis de registros de flujo de purple, los clientes pueden visualizar las interacciones de la infraestructura de la nube, incluso en los componentes de computación, red y almacenamiento. Además, la plataforma escanea los almacenes de archivos y objetos nativos de la nube para evaluar la presencia de datos confidenciales o malware. Según el cumplimiento de la configuración de los recursos subyacentes y la sensibilidad de los datos, se calcula una puntuación de riesgo agregada por aplicación que proporciona un contexto detallado para que el propietario de la aplicación comprenda los riesgos y priorice los esfuerzos de mitigación.

Como plataforma de gestión de la postura de seguridad en la nube, CNAPP proporciona un conjunto de capacidades que garantizan que los activos cumplan con las regulaciones de la industria, las mejores prácticas y las políticas de seguridad. Esto incluye un escaneo proactivo en busca de vulnerabilidades en imágenes de contenedores y máquinas virtuales y garantizar configuraciones seguras en tiempo de ejecución de contenedores para evitar que las compilaciones no compatibles se envíen a producción. Los mismos principios se aplican a las configuraciones del orquestador para ayudar a proteger cómo se implementan los contenedores mediante las herramientas de CI / CD. Estas comprobaciones de referencia se pueden aumentar con otros tipos de políticas para garantizar el monitoreo de la integridad de los archivos y el refuerzo de la configuración de los hosts (por ejemplo, sin puertos inseguros o servicios innecesarios), lo que ayuda a aplicar una defensa en profundidad al minimizar la superficie de ataque common.

Por último, la plataforma aplica la inmutabilidad basada en políticas en las instancias de contenedores en ejecución (y hosts) para ayudar a identificar listas blancas de procesos, servicios y aplicaciones. Al aprovechar la naturaleza declarativa de las cargas de trabajo en contenedores, las amenazas se pueden detectar durante la fase de tiempo de ejecución, incluida cualquier exposición creada como resultado de configuraciones incorrectas, vulnerabilidades de paquetes de aplicaciones y anomalías en el tiempo de ejecución, como la ejecución de shell inverso u otras herramientas de acceso remoto. Si bien la segmentación de las cargas de trabajo se puede lograr en las fases de compilación e implementación de una carga de trabajo mediante comprobaciones de postura para construcciones como espacios de nombres, políticas de pink y configuraciones de tiempo de ejecución de contenedores para limitar las llamadas al sistema, lo mismo también debe aplicarse en la fase de tiempo de ejecución para detectar y responder a la actividad maliciosa de forma automatizada y escalable. La plataforma outline líneas de foundation y modelos de comportamiento que pueden ser especialmente efectivos para investigar intentos de reconocimiento de pink, ejecución remota de código debido a vulnerabilidades de paquetes y bibliotecas de aplicaciones de día cero y devoluciones de llamadas de malware. Además, al asignar estas amenazas e incidentes a las tácticas y técnicas de MITRE ATT & CK, proporciona una taxonomía común a los equipos de seguridad en la nube, independientemente de la aplicación en la nube subyacente o de un componente specific. Esto les ayuda a extender sus procesos y runbooks de incidentes de seguridad a la nube, incluida su capacidad para solucionar errores de configuración de seguridad y abordar de forma preventiva todas las categorías de riesgo de contenedores descritas en NIST 800-190.





Enlace a la noticia authentic