Seguridad en tiempo de ejecución del contenedor

Los contenedores son la piedra angular de la infraestructura nativa de la nube. Son un punto de inflexión en cuanto a escalabilidad y velocidad, pero su aumento en popularidad ha creado un desafío de seguridad de contenedores para las empresas modernas. Por ejemplo, una falla de seguridad reciente en AWS Elastic Container Registry (ECR) podría haber permitido a un actor de amenazas inyectar código malicioso en las imágenes de contenedores de otros usuarios.

A continuación, analizamos más de cerca qué es la seguridad en tiempo de ejecución de contenedores, cinco amenazas de seguridad de contenedores en tiempo de ejecución que las empresas necesitan conocer y las mejores prácticas y herramientas clave para mejorar la postura general de seguridad de la carga de trabajo.

Solicite una demostración Más información

¿Qué es Container Runtime Security?

La seguridad en tiempo de ejecución del contenedor es el conjunto de herramientas y prácticas que protegen los contenedores desde la instanciación hasta la terminación. Es un subconjunto de seguridad de contenedores y protección de carga de trabajo que se ocupa de asegurar todo lo que sucede con un contenedor, desde la instanciación hasta la terminación. Por ejemplo, la seguridad del tiempo de ejecución de contenedores se ocupa del escaneo de contenedores en ejecución en busca de vulnerabilidades, pero del escaneo del código fuente de texto sin formato. Eso significa que los escáneres de vulnerabilidades son un ejemplo de herramientas de seguridad de contenedores en tiempo de ejecución, pero un escáner SAST no lo es.

Sin embargo, la seguridad en tiempo de ejecución del contenedor no es un concepto aislado. Más allá de los contenedores en sí, proteger el código fuente, Kubernetes (K8) y la infraestructura como código (IaC) son aspectos importantes para brindar una defensa en profundidad que prepare para el éxito los esfuerzos de seguridad del tiempo de ejecución de los contenedores empresariales.

Las 5 principales amenazas para la seguridad del tiempo de ejecución de contenedores que las empresas necesitan saber

Las cinco amenazas de seguridad en tiempo de ejecución de contenedores que se indican a continuación pueden crear un riesgo significativo para las empresas que ejecutan cargas de trabajo de contenedores.

  1. Implementación de contenedores no autorizados: Deploy Container (T1610) de la lista de técnicas utilizadas por adversarios empresariales de MITRE ATT & CK es un gran ejemplo de una amenaza a la seguridad de los contenedores. Con esta técnica, los atacantes implementan un contenedor, por ejemplo, usando los comandos create and start de Docker, que eluden los controles de seguridad y habilitan exploits.
  2. Configuraciones incorrectas y configuraciones inseguras: Las configuraciones inseguras son uno de los riesgos de seguridad de contenedores más comunes. Por ejemplo, un contenedor que expone puertos de red innecesarios o codifica claves API son ejemplos de configuraciones inseguras.
  3. Imágenes de contenedores con malware: este riesgo es especialmente frecuente cuando las empresas utilizan registros de contenedores públicos. Los actores de amenazas pueden incrustar malware en imágenes de contenedores y luego publicarlas en registros públicos para que las utilicen las empresas.
  4. Ataques de escalamiento de privilegios: Hay una variedad de ataques de escalamiento de privilegios que pueden llevar a un atacante a obtener acceso root a un contenedor o al host subyacente. Estos ataques suelen comenzar explotando una configuración insegura o una vulnerabilidad existente.
  5. Vulnerabilidad sin parches: las vulnerabilidades sin igual, como un error de control de acceso en una aplicación, brindan a los actores de amenazas una ruta más fácil para comprometer un contenedor.

Cómo encontrar y remediar los riesgos de tiempo de ejecución de la seguridad del contenedor

De acuerdo con el concepto de seguridad de desplazamiento a la izquierda, la detección temprana es clave para una seguridad efectiva del tiempo de ejecución del contenedor. Idealmente, las empresas deberían detectar amenazas incluso antes de que se produzca la instanciación del contenedor.

Sin embargo, eso no siempre es práctico. Ahí es donde entran en juego el análisis en tiempo de ejecución y la detección de amenazas. Una vez que se detecta una amenaza, el caso ideal es que se remedie automáticamente de una manera que limite inteligentemente los falsos positivos. Para los casos restantes, los profesionales de seguridad deben ser alertados rápidamente para que tomen medidas correctivas.

5 mejores prácticas de seguridad de contenedores en tiempo de ejecución

Las cinco mejores prácticas que se indican a continuación pueden ayudar a las empresas a encontrar y remediar de manera efectiva los riesgos de seguridad del tiempo de ejecución del contenedor.

  1. Ejecute únicamente imágenes de contenedores de confianza: La ejecución de imágenes de contenedor de confianza únicamente desde repositorios seguros limita el riesgo de crear una instancia de una imagen insegura.
  2. Implementar un análisis continuo de vulnerabilidades: las comprobaciones de seguridad puntuales son útiles, pero no suficientes. Para mantenerse a la vanguardia de las amenazas en evolución, las empresas deben analizar continuamente las cargas de trabajo para la detección de amenazas en tiempo real.
  3. Ejecute contenedores con usuarios de privilegios bajos: las empresas deben evitar ejecutar contenedores como usuario raíz o con el indicador Docker —privilegiado. En general, los contenedores no deberían necesitar acceso root al entorno host, por lo que el uso de root viola el principio de privilegio mínimo. Del mismo modo, la bandera —privilegiado pasa por alto importantes controles de seguridad.
  4. No habilite sistemas de archivos grabables: Loscontenedores generalmente están destinados a ser efímeros. Habilitar sistemas de archivos grabables crea la posibilidad de que los atacantes escriban y ejecuten código malicioso.
  5. Centralice y automatice la visibilidad y la aplicación de políticas: La supervisión y protección manual de los contenedores no es escalable. También es propenso al error humano. Por mucho que sea práctico, las empresas deben aprovechar las herramientas que centralizan y automatizan la visibilidad de la seguridad y las políticas de los contenedores.

La seguridad efectiva del tiempo de ejecución del contenedor requiere un enfoque holístico

La seguridad del tiempo de ejecución del contenedor no existe en el vacío. Por ejemplo, la seguridad de iAC y la seguridad del tiempo de ejecución del contenedor van de la mano. Para mantener una postura de seguridad sólida, las empresas necesitan implementar soluciones holísticas que integren la seguridad a lo largo del ciclo de vida del desarrollo de software (SDLC). Eso significa que las herramientas que permiten visibilidad y seguridad en toda la empresa en la nube y brindan seguridad dondequiera que las empresas ejecuten contenedores son esenciales para la protección moderna de la carga de trabajo y el tiempo de ejecución.

Container Runtime Security with Check Point Workload Protection

Check Point Workload Protection is a cloud-native workload security solution. It provides visibility, threat prevention, and enables compliance across multi-cloud environments. With Check Point, enterprises gain comprehensive and automated security from a centralized platform. Benefits of Check Point Workload Protection include:

  • Container security: Check Point container security features include deep visibility into K8s clusters, container image scanning, real-time threat prevention, and policy enforcement via a central admissions controller.
  • Serverless security: Serverless apps create a new security challenge for enterprises. Check Point helps enterprises mitigate serverless security risks with behavioral defense that can detect potential misuse and abuse of serverless functions.
  • Application security: Check Point AppSec is powered by a patent-pending contextual AI engine. Check Point first baselines normal behavior and then creates profiles to intelligently score requests to reduce false positives without compromising enterprise security posture.

Si está interesado en obtener más información sobre la seguridad de los contenedores, regístrese hoy para una demostración.

Comenzar

Check Point Workload Protection 

Check Point Container Security

Resumen de soluciones de seguridad de contenedores

Administración de la Postura de Seguridad en la Nube

Temas relacionados

Container as a Service (CaaS)

Problemas de seguridad de contenedores

Seguridad de la infraestructura como código (IaC)

Contenedorización

Seguridad de Kubernetes (K8s)