Si tu organización aún no usa Kubernetes para orquestar tus activos en la nube , prepárate: esto llegará rápido. Y si, además, serás responsable de securizar este entorno, cuenta también con que tendrás que tomar algunas decisiones poco sencillas.
Es fácil ver por qué Kubernetes es tan popular. Los contenedores ofrecen una alternativa más eficiente a la virtualización, permitiendo ejecutar aplicaciones sin el esfuerzo de administrar un nuevo sistema virtual cada vez. Kubernetes además, brinda la flexibilidad para manipular y orquestar esos recursos de una manera creativa y constructiva.
Para hacer eso, agrupa recursos similares en contenedores de programación llamados pods, lo que facilita el control y la escala de las cargas de trabajo, activando automáticamente los recursos para satisfacer la demanda.
Todo ello suma un conjunto de capacidades muy útil, con un pequeño pero, ,es un concepto nuevo, con un vocabulario completamente diferente, que no siempre encaja cómodamente con los métodos tradicionales de ciberseguridad.
Como resultado, Kubernetes a menudo se protege con un conjunto de herramientas independiente, con las que conseguir obtener la visibilidad que se necesita para proteger estas cargas de trabajo de corta duración es todo un desafío. Y eso puede complicar el panorama en un momento en que la industria generalmente converge en torno a un enfoque de seguridad más simple y unificado.
Nuevas herramientas para una nueva forma de trabajar
Si estás buscando proteger tus aplicaciones e instancias en Kubernetes por primera vez, es posible que tengas dificultades para encontrar una respuesta única y bien definida de las mejores prácticas.
Los principales analistas respaldan diferentes enfoques y, a veces, usan términos contradictorios para ideas similares. Por ejemplo, Gartner utiliza el término “evaluación adaptativa continua de riesgo y confianza” o CARTA, mientras que Forrester prefiere “seguridad de datos no estructurados” en la línea de la plataforma BeyondCorp de Google.
En ambos casos, estamos hablando de un enfoque de confianza cero. Es un poco como el acceso a la red de confianza cero (ZTNA), donde se comprueba la identidad del usuario en cada etapa, excepto que, en lugar de los usuarios, estamos intentando verificar recursos de computación como servidores, máquinas virtuales, aplicaciones, datos, recursos de cómputo o dispositivos de trabajo, todos ellos englobados en un término común conocido como workloads.
Eso requiere herramientas especializadas, diseñadas para la forma en que funciona Kubernetes.
Por ejemplo, los firewalls tradicionales dependen en gran medida de la comprensión de la dirección IP desde y hacia la que se dirige el tráfico. Pero en Kubernetes, los workloads se mueven tan rápido que la dirección IP casi no tiene sentido: para operar un modelo de confianza cero, el firewall necesita comprender los espacios de nombres y los metadatos, para que pueda rastrear el tráfico hasta el pod.
También quieres poder reconocer la aplicación, el nombre de host y el puerto, así como la cadena de consulta y la metainformación de las solicitudes web.
Una vez que se haya identificado el tráfico, también se debe verificarlo para confirmar que un pod está etiquetado correctamente o que está ejecutando la versión más segura y actualizada de una biblioteca. Y se debe poder detectar y aislar las cargas de trabajo que se comportan de manera atípica.
Poner un firewall tradicional frente a Kubernetes ofrecerá cierta protección, pero en última instancia no brindará el control granular que se necesita.
Un mosaico de soluciones y enfoques
Eso no quiere decir que trabajar con Kubernetes sea inseguro. Hay buenas herramientas de seguridad disponibles, a menudo implementadas como complementos dentro de la propia plataforma.
Los controladores de entrada pueden ofrecer seguridad de tipo firewall para aplicaciones web, inspeccionar las URL y enrutar el tráfico en función de la ruta y la cadena de consulta. También hay herramientas de administración de la postura de seguridad en la nube (CSPM) que se integran directamente con los clústeres de Kubernetes nativos instalados en los servidores, así como con los servicios de proveedores de nube administrados como Amazon Elastic Kubernetes Service (EKS), Microsoft Azure Kubernetes Service (AKS) y Google Kubernetes Engine (GKE).
Estas herramientas CSPM supervisan de forma proactiva los estándares de mejores prácticas de seguridad para garantizar que los clústeres y los grupos de seguridad del plano de control no estén expuestos a la Internet pública a través de configuraciones incorrectas. También hay complementos de interfaz de red de contenedores (CNI) que ofrecen la capacidad de aplicar reglas granulares como un firewall, pero basadas en espacios de nombres, pods y etiquetado de Kubernetes. Todas estas reglas se pueden adaptar a los cambiantes worloads.
Los controles de admisión son otro punto importante. Estos inspeccionan nuevos pods a medida que se implementan, para verificar que estén siguiendo las reglas correctas para nombrar y etiquetar, detectar vulnerabilidades conocidas y confirmar que se adjuntan los niveles de seguridad correctos. Luego monitorizan su evolución para asegurarse de que envejezcan correctamente con el tiempo.
Para la mayoría de las organizaciones, se necesita un mosaico de soluciones, incluida la gestión del workload, la identidad y la postura general de seguridad en la nube, así como el escaneo de código en entornos de Infraestructura como código (IaC) y, por último, para proteger toda la pila de Kubernetes.
Sophos ofrece varias soluciones aplicables en estos entornos , en particular, Sophos Cloud Optix, nuestra solución Cloud Security Posture Management, y Sophos Factory, para la automatización de DevSecOps, con la detección y corrección de instancias Linux y contenedores próximamente.
También es posible coordinar esta combinación de soluciones. Calico es un componente popular que te permite administrar y aplicar políticas coherentes en tu espacio de Kubernetes, y si estás operando en un entorno de Kubernetes puro, puede funcionar bien. Pero si deseas alinear esas políticas con tu trabajo fuera de Kubernetes, probablemente querrás algo más.
Integrando Kubernetes en tus planes de ciberseguridad sincronizados
Tratar a Kubernetes como un caso especial separado parece anacrónico en un momento en que otras partes de la ciberseguridad se sincronizan cada vez más.
Las organizaciones están viendo los beneficios de políticas coherentes, administradas desde un punto central. No solo ahorra tiempo y dinero; también reduce las posibles brechas de seguridad, las inconsistencias y los errores humanos que pueden surgir al administrar demasiadas tecnologías diferentes con personal, conocimientos y recursos limitados.
Para obtener esos beneficios y poner Kubernetes en línea, necesitarías un firewall escalable nativo web que pueda proteger múltiples clústeres de Kubernetes, junto con las cargas de trabajo tradicionales en otras plataformas en la nube.
Deberías poder activarlo dentro de Kubernetes y hacer que comprenda todos los espacios de nombres, etiquetas y pods relevantes. Y te gustaría poder controlarlo desde tu consola central de ciberseguridad, de una manera que resulte familiar para tu equipo de TI y seguridad.
En este momento, no veo nada en el mercado que satisfaga esas necesidades. Pero estamos trabajando en ello y espero tener noticias emocionantes para ti en 2022. ¡Consulta esta web!
Mientras tanto, si deseas hablar sobre cómo Sophos puede ayudarte a proteger tus cargas de trabajo en la nube, en contenedores o de otro modo, habla con tu representante local.
Dejar un comentario