El cumplimiento de los contenedores se refiere a las políticas y prácticas necesarias para garantizar que las cargas de trabajo en contenedores cumplen las normas reglamentarias como GDPR, CIS y PCI DSS.
El costo de no cumplir con las normas regulatorias relevantes puede tener un gran impacto en el resultado final. Por ejemplo, el incumplimiento del Reglamento General de Protección de Datos (RGPD) puede costar hasta el 4% de la facturación de una empresa o 20 millones de euros. Al mismo tiempo, los contenedores son ahora una piedra angular de la infraestructura de software moderna, y las cargas de trabajo en contenedores a menudo interactúan directamente con los datos confidenciales que las regulaciones están destinadas a proteger.
A escala, puede ser difícil asegurarse de que todas las cargas de trabajo en contenedores de un entorno cumplan con los estándares pertinentes. La visibilidad limitada de los contenedores, la desviación de la configuración y la ambigüedad en torno a la forma exacta de aplicar las soluciones conformes crean complejidades y retos de cumplimiento.
A continuación, examinaremos más de cerca la importancia del cumplimiento de la normativa por parte de los contenedores, los retos comunes en materia de cumplimiento a los que se enfrentan las empresas modernas y cómo pueden abordarlos las empresas.
Con los contenedores ejecutando tantas aplicaciones críticas hoy en día, el cumplimiento es a menudo una apuesta sobre la mesa para hacer negocios. Sin embargo, cumplir los requisitos previos para realizar negocios en determinadas industrias y regiones es sólo una de las razones por las que es importante el cumplimiento de la normativa sobre contenedores.
El cumplimiento de los contenedores también ayuda a las empresas:
A menudo, el cumplimiento conlleva complejidad. Esto es particularmente cierto con el cumplimiento de los contenedores porque muchos estándares se escribieron antes de que las cargas de trabajo en contenedores aumentaran su popularidad, o simplemente no hablan claramente de los casos de uso de los contenedores.
Algunos de los retos más frecuentes a la hora de lograr el cumplimiento para los contenedores son:
Esos desafíos de alto nivel se aplican a múltiples estándares. En las secciones siguientes, examinaremos normas específicas y cómo se relacionan con el cumplimiento de la seguridad de los contenedores.
El Instituto Nacional de Normas y Tecnología de Estados Unidos (NIST) ha desarrollado una serie de normas y directrices sobre mejores prácticas, muchas de las cuales están directamente relacionadas con la ciberseguridad y el cumplimiento de la normativa sobre datos. En muchos casos, cumplir con los estándares específicos del NIST es un requisito previo para hacer negocios con el gobierno de los Estados Unidos.
Algunas de las directrices y estándares de ciberseguridad más relevantes del NIST con los que las empresas deben estar familiarizadas son:
El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) define un marco que las empresas que aceptan o procesan pagos con tarjeta deben seguir para reducir el riesgo de fraude y compromiso de datos. Esto hace que el cumplimiento de la norma PCI DSS por parte de los contenedores sea una necesidad para muchas cargas de trabajo de contenedores relacionadas con el comercio electrónico y la venta minorista.
Lograr el cumplimiento de la norma PCI DSS incluye cumplir doce requisitos operativos y de seguridad de los datos, como no utilizar valores predeterminados para las contraseñas y los parámetros de seguridad, mantener un firewall, almacenar de forma segura los datos de los titulares de las tarjetas y actualizar periódicamente los programas antivirus.
Debido a que PCI DSS no es demasiado prescriptivo en cuanto a la forma en que las empresas deben cumplir con estos requisitos, hacerlo bien para las cargas de trabajo de contenedores puede ser un desafío. Herramientas como las plataformas de gestión de la postura de seguridad de Kubernetes (KPSM ) pueden ayudar a las empresas a lograr el cumplimiento de la norma PCI DSS mediante la automatización del proceso de definición de políticas de seguridad, el análisis de las cargas de trabajo de los contenedores en los clústeres K8s, la detección de configuraciones erróneas y la identificación de problemas con los controles de acceso basados en roles (RBAC).
El RGPD se aplica a todas las organizaciones que manejan los datos personales de los ciudadanos de la Unión Europea (UE). Incluye requisitos relacionados con el cifrado y la seudonimización de los datos personales de los ciudadanos de la UE, el mantenimiento de la confidencialidad, integridad y disponibilidad (CIA) de los sistemas implicados en el tratamiento de datos, la realización de pruebas periódicas y la capacidad de restauración en caso de accidente.
Para lograr el cumplimiento del GDPR para las cargas de trabajo en contenedores, las empresas deben adoptar un enfoque múltiple de la seguridad de los contenedores. Por ejemplo, las empresas pueden escanear imágenes en busca de vulnerabilidad, aplicar estrictos controles de acceso a la red, limitar el acceso a datos sensibles y vigilar las amenazas en tiempo real como parte de los pasos necesarios para cumplir con el GDPR.
El Centro para la Seguridad de Internet (CIS, por sus siglas en inglés) mantiene un conjunto de mejores prácticas de configuración segura, conocidas como puntos de referencia de CIS, para una variedad de sistemas de múltiples proveedores. Estas mejores prácticas se basan en el consenso derivado de expertos en ciberseguridad de todo el mundo.
Los puntos de referencia de CIS son ampliamente reconocidos en todo el mundo como una referencia autorizada para prácticas seguras y, a menudo, se superponen con otros estándares de ciberseguridad como los estándares de la serie ISO/IEC 27000, el Marco de Ciberseguridad del NIST y PCI DSS.
CIS publica puntos de referencia para diversas plataformas relacionadas con la nube y los contenedores, como Kubernetes y Docker. Con herramientas como la gestión de la postura de seguridad en la nube (CSPM, por sus siglas en inglés) de nivel empresarial, las organizaciones pueden agilizar el proceso de evaluación de su infraestructura frente a las normas CIS y obtener una visibilidad granular de sus cargas de trabajo en contenedores.
Abordar el cumplimiento de la seguridad de los contenedores a escala requiere la combinación adecuada de estrategia, procesos y herramientas. La plataforma CheckPoint CloudGuard es una solución completa de seguridad en la nube y cumplimiento de normativas creada específicamente para abordar una amplia gama de casos de uso de cumplimiento de normativas en contenedores.
Con CloudGuard, las empresas pueden:
Para ver el poder de CloudGuard de primera mano, regístrese para una demostración gratuita de seguridad de contenedores hoy mismo o inicie una prueba gratuita de CloudGuard CSPM. Alternativamente, si desea profundizar en los desafíos de seguridad de los contenedores, descargue nuestra Guía de seguridad de contenedores gratuita.