Seguridad en tiempo de ejecución del contenedor

Los contenedores son la piedra angular de la infraestructura nativa de la nube. Son un punto de inflexión en cuanto a escalabilidad y velocidad, pero su aumento en popularidad ha creado un desafío de seguridad de contenedores para las empresas modernas. Por ejemplo, una falla de seguridad reciente en AWS Elastic Container Registry (ECR) podría haber permitido a un actor de amenazas inyectar código malicioso en las imágenes de contenedores de otros usuarios.

A continuación, analizamos más de cerca qué es la seguridad en tiempo de ejecución de contenedores, cinco amenazas de seguridad de contenedores en tiempo de ejecución que las empresas necesitan conocer y las mejores prácticas y herramientas clave para mejorar la postura general de seguridad de la carga de trabajo.

Solicite una demostración Más información

¿Qué es Container Runtime Security?

La seguridad en tiempo de ejecución del contenedor es el conjunto de herramientas y prácticas que protegen los contenedores desde la instanciación hasta la terminación. Es un subconjunto de seguridad de contenedores y protección de carga de trabajo que se ocupa de asegurar todo lo que sucede con un contenedor, desde la instanciación hasta la terminación. Por ejemplo, la seguridad del tiempo de ejecución de contenedores se ocupa del escaneo de contenedores en ejecución en busca de vulnerabilidades, pero del escaneo del código fuente de texto sin formato. Eso significa que los escáneres de vulnerabilidades son un ejemplo de herramientas de seguridad de contenedores en tiempo de ejecución, pero un escáner SAST no lo es.

Sin embargo, la seguridad en tiempo de ejecución del contenedor no es un concepto aislado. Más allá de los contenedores en sí, proteger el código fuente, Kubernetes (K8) y la infraestructura como código (IaC) son aspectos importantes para brindar una defensa en profundidad que prepare para el éxito los esfuerzos de seguridad del tiempo de ejecución de los contenedores empresariales.

Las 5 principales amenazas para la seguridad del tiempo de ejecución de contenedores que las empresas necesitan saber

Las cinco amenazas de seguridad en tiempo de ejecución de contenedores que se indican a continuación pueden crear un riesgo significativo para las empresas que ejecutan cargas de trabajo de contenedores.

  1. Implementación de contenedores no autorizados: Deploy Container (T1610) de la lista de técnicas utilizadas por adversarios empresariales de MITRE ATT & CK es un gran ejemplo de una amenaza a la seguridad de los contenedores. Con esta técnica, los atacantes implementan un contenedor, por ejemplo, usando los comandos create and start de Docker, que eluden los controles de seguridad y habilitan exploits.
  2. Configuraciones incorrectas y configuraciones inseguras: Las configuraciones inseguras son uno de los riesgos de seguridad de contenedores más comunes. Por ejemplo, un contenedor que expone puertos de red innecesarios o codifica claves API son ejemplos de configuraciones inseguras.
  3. Imágenes de contenedores con malware: este riesgo es especialmente frecuente cuando las empresas utilizan registros de contenedores públicos. Los actores de amenazas pueden incrustar malware en imágenes de contenedores y luego publicarlas en registros públicos para que las utilicen las empresas.
  4. Ataques de escalamiento de privilegios: Hay una variedad de ataques de escalamiento de privilegios que pueden llevar a un atacante a obtener acceso root a un contenedor o al host subyacente. Estos ataques suelen comenzar explotando una configuración insegura o una vulnerabilidad existente.
  5. Vulnerabilidad sin parches: las vulnerabilidades sin igual, como un error de control de acceso en una aplicación, brindan a los actores de amenazas una ruta más fácil para comprometer un contenedor.

Cómo encontrar y remediar los riesgos de tiempo de ejecución de la seguridad del contenedor

De acuerdo con el concepto de seguridad de desplazamiento a la izquierda, la detección temprana es clave para una seguridad efectiva del tiempo de ejecución del contenedor. Idealmente, las empresas deberían detectar amenazas incluso antes de que se produzca la instanciación del contenedor.

Sin embargo, eso no siempre es práctico. Ahí es donde entran en juego el análisis en tiempo de ejecución y la detección de amenazas. Una vez que se detecta una amenaza, el caso ideal es que se remedie automáticamente de una manera que limite inteligentemente los falsos positivos. Para los casos restantes, los profesionales de seguridad deben ser alertados rápidamente para que tomen medidas correctivas.

5 mejores prácticas de seguridad de contenedores en tiempo de ejecución

Las cinco mejores prácticas que se indican a continuación pueden ayudar a las empresas a encontrar y remediar de manera efectiva los riesgos de seguridad del tiempo de ejecución del contenedor.

  1. Ejecute únicamente imágenes de contenedores de confianza: La ejecución de imágenes de contenedor de confianza únicamente desde repositorios seguros limita el riesgo de crear una instancia de una imagen insegura.
  2. Implementar un análisis continuo de vulnerabilidades: las comprobaciones de seguridad puntuales son útiles, pero no suficientes. Para mantenerse a la vanguardia de las amenazas en evolución, las empresas deben analizar continuamente las cargas de trabajo para la detección de amenazas en tiempo real.
  3. Ejecute contenedores con usuarios de privilegios bajos: las empresas deben evitar ejecutar contenedores como usuario raíz o con el indicador Docker —privilegiado. En general, los contenedores no deberían necesitar acceso root al entorno host, por lo que el uso de root viola el principio de privilegio mínimo. Del mismo modo, la bandera —privilegiado pasa por alto importantes controles de seguridad.
  4. No habilite sistemas de archivos grabables: Loscontenedores generalmente están destinados a ser efímeros. Habilitar sistemas de archivos grabables crea la posibilidad de que los atacantes escriban y ejecuten código malicioso.
  5. Centralice y automatice la visibilidad y la aplicación de políticas: La supervisión y protección manual de los contenedores no es escalable. También es propenso al error humano. Por mucho que sea práctico, las empresas deben aprovechar las herramientas que centralizan y automatizan la visibilidad de la seguridad y las políticas de los contenedores.

La seguridad efectiva del tiempo de ejecución del contenedor requiere un enfoque holístico

La seguridad del tiempo de ejecución del contenedor no existe en el vacío. Por ejemplo, la seguridad de iAC y la seguridad del tiempo de ejecución del contenedor van de la mano. Para mantener una postura de seguridad sólida, las empresas necesitan implementar soluciones holísticas que integren la seguridad a lo largo del ciclo de vida del desarrollo de software (SDLC). Eso significa que las herramientas que permiten visibilidad y seguridad en toda la empresa en la nube y brindan seguridad dondequiera que las empresas ejecuten contenedores son esenciales para la protección moderna de la carga de trabajo y el tiempo de ejecución.

Seguridad en tiempo de ejecución de contenedores con protección CloudGuard Workload

CloudGuard Workload Protection es una solución de seguridad de cargas de trabajo nativa de la nube. Proporciona visibilidad, prevención de amenazas y permite el cumplimiento en entornos de múltiples nubes. Con CloudGuard, las empresas obtienen seguridad integral y automatizada desde una plataforma centralizada. Los beneficios de la protección de CloudGuard Workload incluyen:

  • Seguridad de contenedores: las funciones de seguridad de contenedores de CloudGuard incluyen visibilidad profunda de los clústeres K8, escaneo de imágenes de contenedores, prevención de amenazas en tiempo real y aplicación de políticas a través de un controlador de admisiones central.
  • seguridad sin servidor: Las aplicaciones sin servidor crean un nuevo desafío de seguridad para las empresas. CloudGuard ayuda a las empresas a mitigar los riesgos de seguridad sin servidor con una defensa conductual que puede detectar posibles usos indebidos y abusos de las funciones sin servidor.
  • Seguridad de la aplicación: CloudGuard AppSec funciona con un motor de IA contextual pendiente de patente. CloudGuard primero establece una base de referencia del comportamiento normal y luego crea perfiles para calificar de manera inteligente las solicitudes para reducir los falsos positivos sin comprometer la postura de seguridad empresarial.

Si está interesado en obtener más información sobre la seguridad de los contenedores, regístrese hoy para una demostración.

Comenzar

CloudGuard Workload Protection 

CloudGuard Seguridad para Contenedores

Resumen de soluciones de seguridad de contenedores

Administración de la Postura de Seguridad en la Nube

Temas relacionados

Container as a Service (CaaS)

Problemas de seguridad de contenedores

Seguridad de la infraestructura como código (IaC)

Contenedorización

Seguridad de Kubernetes (K8s)

x
  Comentarios
Este sitio web emplea cookies para su funcionalidad y con fines analíticos y de marketing. Al continuar empleando este sitio web, usted acepta el uso de cookies. Para más información, lea nuestro Aviso sobre cookies.
Aceptar