Lectura oscura | Seguridad | Proteja el negocio



La participación de mercado de Kubernetes continúa creciendo a medida que las organizaciones aumentan el uso de software en contenedores y adoptan arquitecturas en la nube. De acuerdo a una Fundación de computación nativa en la nube (CNCF) encuesta, el uso de Kubernetes aumentó del 58% en 2018 al 91% en 2020.

Sin embargo, junto con un rápido crecimiento, Kubernetes ya ha experimentado una buena cantidad de ciberataques, con seis importantes solo el año pasado (CVE-2020-14386, CVE-2020-2121, CVE-2020-8558, CVE-2020-8559, CVE-2020-10749, y CVE-2020-8557). Es muy possible que esta tendencia continúe o incluso se acelere. A medida que se pongan en producción más clústeres de Kubernetes, los malos actores estarán motivados para encontrar más agujeros de seguridad.

Los contenedores de Kubernetes a menudo tienen configuraciones de seguridad sueltas, a veces de forma predeterminada, que los piratas informáticos pueden aprovechar para ejecutar un ciberataque. Lightspin inspeccionó dónde utilizan nuestros clientes el modo «privilegio», que proporciona acceso casi sin restricciones a los recursos del sistema host «escaladas de privilegios», donde los procesos reciben privilegios ampliados y «ejecutar como root», lo que permite la gestión de contenedores sin restricciones. Tres cuartas partes de las empresas encuestadas coincidieron con uno o más de los problemas, y el porcentaje promedio de grupos afectados fue de casi el 25%. Estos permisos se utilizan a menudo con fines de desarrollo, pero presentan un nivel de riesgo inaceptable cuando los contenedores se ponen en producción.

Por qué Kubernetes es un objetivo fácil
Algunos aumentos en los ataques dirigidos a Kubernetes se deben a las nuevas tendencias en los entornos de desarrollo. Con el movimiento para dividir los sistemas en funciones más pequeñas, muchos equipos de TI están desarrollando microservicios que requieren autenticación y control de acceso y, por lo tanto, abren una nueva superficie de ataque. Los microservicios tienden a ser muy volátiles, con la capacidad de moverse y aparecer y salir, lo que dificulta la defensa de todos sus respectivos puntos de entrada de los piratas informáticos.

Los entornos en la nube se están volviendo más complejos y consisten en miles de activos en la nube de múltiples proveedores. A menudo, existe confusión sobre las fronteras de la seguridad entre las organizaciones internas y los proveedores de la nube. Investigación de Gartner indica que alrededor del 95% de las violaciones de seguridad en la nube hasta 2022 provendrán de errores de los clientes alimentados por configuraciones erróneas, mitos y malentendidos. Según nuestra investigación interna, puede tomar 270 días en promedio para que las organizaciones se den cuenta siquiera de que tienen un problema de configuración incorrecta que compromete su seguridad. Eso les da a los piratas informáticos mucho tiempo para acceder a los sistemas y archivos y recopilar datos de propiedad y confidenciales.

Los ecosistemas de Kubernetes a menudo se construyen a partir de varios componentes de código abierto de terceros, lo que dificulta la aplicación de implementaciones estándar que incluyen configuraciones adecuadas y autorizaciones de seguridad. Esta falta de command se ve agravada por el énfasis en acelerar la entrega del producto. Las implementaciones de DevOps a menudo se adelantan a la seguridad, introduciendo nuevas funciones o servicios que están desprotegidos y aumentando la superficie de ataque.

Directrices para protegerse contra las vulnerabilidades
Kubernetes viene con controles de seguridad que deben personalizarse para cada organización y sus riesgos. Dado que el entorno de programación es muy volátil, el proceso debe actualizarse constantemente. Aquí hay algunas pautas generales a considerar:

  • Como Kubernetes está completamente impulsado por API, controlar y limitar quién puede acceder al clúster y qué acciones pueden realizar es la primera línea de defensa. Asegúrese de bloquear el acceso al servidor de API de Kubernetes asegurándose de que el servidor de API sea accesible solo desde subredes confiables que utilicen las reglas de firewall adecuadas. El escenario suitable es exponer el servidor a una pink de nube privada digital (VPC) en lugar de la Net abierta.
  • Uno de los desafíos más difíciles que enfrentan los equipos de seguridad es la falta de visibilidad completa de las arquitecturas de Kubernetes. Su equipo debe identificar y definir todos los puertos que se conectan a sus hosts, contenedores y máquinas virtuales, tal como lo haría con cualquier recurso de datos físico en el sitio. Busque todos los activos con perfiles de seguridad indefinidos o configuraciones predeterminadas sueltas. Tenga en cuenta que el valor predeterminado de Kubernetes es que cada pod puede hablar con todos los demás pods sin restricciones de seguridad. Una regla standard es otorgar el nivel más bajo de privilegio del sistema operativo necesario al construir contenedores. Asegúrese de que la autenticación anónima esté desactivada.
  • Permita que cada microservicio acceda solo a los recursos que necesita. De esta manera, una vulnerabilidad en un microservicio no expondrá el resto de su sistema a un atacante. Asegúrese de inspeccionar a los usuarios autorizados para cada activo de almacenamiento.
  • Investigue usando una herramienta que le brindará un mapa visible de un clúster de Kubernetes que incluye handle de acceso basado en roles (RBAC), redes y capas de configuración hasta el nivel de microservicio. Ver la relación entre todos los componentes o el contexto de cada vulnerabilidad pondrá los incidentes de seguridad en perspectiva para priorizar las alertas y tomar medidas inmediatas cuando sea necesario.

La mejor estrategia es concentrarse en las rutas de ataque que amenazan a los activos más vulnerables y valiosos. Los sistemas de seguridad que monitorean el tráfico en busca de anomalías pueden generar un número excesivo de alertas que consumen un tiempo valioso. Pero al centrarse en los activos que desea proteger y proteger la nube desde adentro hacia afuera, puede concentrarse en las amenazas más urgentes.

La carrera por innovar más rápido en nuestra economía digital en línea está creando más superficies de ataque que introducen un mayor riesgo de violaciones de datos. Tener visibilidad completa de todos los componentes de Kubernetes, minimizar el acceso a los activos y centrarse en la ruta del ataque puede proteger los entornos al tiempo que se hace el mejor uso del individual de seguridad. Comprender el contexto de cada amenaza es la mejor manera de evaluar las prioridades y tomar medidas para proteger los datos confidenciales y prevenir las filtraciones de datos.



Enlace a la noticia unique