What Is Container Compliance

El cumplimiento de los contenedores se refiere a las políticas y prácticas necesarias para garantizar que las cargas de trabajo en contenedores cumplen las normas reglamentarias como GDPR, CIS y PCI DSS. 

El costo de no cumplir con las normas regulatorias relevantes puede tener un gran impacto en el resultado final. Por ejemplo, el incumplimiento del Reglamento General de Protección de Datos (RGPD) puede costar hasta el 4% de la facturación de una empresa o 20 millones de euros. Al mismo tiempo, los contenedores son ahora una piedra angular de la infraestructura de software moderna, y las cargas de trabajo en contenedores a menudo interactúan directamente con los datos confidenciales que las regulaciones están destinadas a proteger.

A escala, puede ser difícil asegurarse de que todas las cargas de trabajo en contenedores de un entorno cumplan con los estándares pertinentes. La visibilidad limitada de los contenedores, la desviación de la configuración y la ambigüedad en torno a la forma exacta de aplicar las soluciones conformes crean complejidades y retos de cumplimiento.

A continuación, examinaremos más de cerca la importancia del cumplimiento de la normativa por parte de los contenedores, los retos comunes en materia de cumplimiento a los que se enfrentan las empresas modernas y cómo pueden abordarlos las empresas.

Guía de seguridad de contenedores Solicite una demostración

La importancia del cumplimiento de los envases

Con los contenedores ejecutando tantas aplicaciones críticas hoy en día, el cumplimiento es a menudo una apuesta sobre la mesa para hacer negocios. Sin embargo, cumplir los requisitos previos para realizar negocios en determinadas industrias y regiones es sólo una de las razones por las que es importante el cumplimiento de la normativa sobre contenedores.

El cumplimiento de los contenedores también ayuda a las empresas:

  • Evite multas, sanciones y pérdidas de ingresos: En muchos casos, el incumplimiento implica multas y sanciones que repercuten directamente en el balance final. Además, si el incumplimiento conduce a una acción que impide a las empresas hacer negocios con un cliente o una región específicos, puede suponer una pérdida de ingresos.
  • Mejore la postura general de seguridad y reduzca los riesgos: A menudo, los requisitos de cumplimiento se solapan con las mejores prácticas generales de seguridad. Como resultado, la implementación de las políticas y procedimientos necesarios para seguir cumpliendo con la normativa puede mejorar la postura de seguridad general, incluida la seguridad de los contenedores, y reducir el riesgo de un incidente de seguridad.
  • Proteger su reputación: Una brecha de seguridad suele ser mala para la reputación de una empresa. Sin embargo, incluso si se produce una infracción, una empresa que pueda demostrar que siguió las mejores prácticas de ciberseguridad y cumplió con los estándares de seguridad pertinentes podrá proteger su reputación mejor que una organización que no cumpla con las normas.

Cumplimiento de los contenedores Desafíos

A menudo, el cumplimiento conlleva complejidad. Esto es particularmente cierto con el cumplimiento de los contenedores porque muchos estándares se escribieron antes de que las cargas de trabajo en contenedores aumentaran su popularidad, o simplemente no hablan claramente de los casos de uso de los contenedores.

Algunos de los retos más frecuentes a la hora de lograr el cumplimiento para los contenedores son:

  • Visibilidad de los contenedores: Para lograr el cumplimiento, las empresas necesitan visibilidad de todas sus cargas de trabajo, pero comprender qué cargas de trabajo de contenedores se están ejecutando, dónde se están ejecutando y cómo están configuradas es difícil a escala. Las cargas de trabajo se reparten entre nubes públicas y privadas, las imágenes pueden proceder de múltiples fuentes y las configuraciones pueden variar.
  • Administración de la desviación de la configuración: una vez que se implementan las configuraciones y políticas compatibles, las empresas pueden ser compatibles en un momento dado. Sin embargo, mantener un estado compatible puede ser un desafío frente a la desviación de la configuración. Detectar y corregir errores de configuración e infracciones de políticas de forma rápida y fiable es un aspecto clave de la reclamación pendiente.
  • Implementación de controles de acceso granulares: Muchos estándares requieren que las empresas implementen controles de acceso granulares para evitar el acceso no autorizado a datos confidenciales. Por ejemplo, PCI DSS requiere que las empresas restrinjan el acceso a los datos de los titulares de tarjetas de una manera que sea comparable al principio de privilegio mínimo.
  • Gestión de la vulnerabilidad en bibliotecas e imágenes externas: Las imágenes de contenedores extraídas de repositorios de contenedores no fiables o de bibliotecas y dependencias de terceros pueden introducir diversos problemas de seguridad en los entornos en contenedores. Las empresas necesitan un plan para mitigar este riesgo para seguir cumpliendo con la normativa.
  • Mantener el cumplimiento en entornos multi-nube: Las cargas de trabajo en contenedores suelen estar repartidas entre varias plataformas en entornos multi-nube. En esos casos, las empresas necesitan garantizar el cumplimiento de los contenedores en las plataformas de nube pública y en la infraestructura local.

Esos desafíos de alto nivel se aplican a múltiples estándares. En las secciones siguientes, examinaremos normas específicas y cómo se relacionan con el cumplimiento de la seguridad de los contenedores.

Cumplimiento del NIST para contenedores

El Instituto Nacional de Normas y Tecnología de Estados Unidos (NIST) ha desarrollado una serie de normas y directrices sobre mejores prácticas, muchas de las cuales están directamente relacionadas con la ciberseguridad y el cumplimiento de la normativa sobre datos. En muchos casos, cumplir con los estándares específicos del NIST es un requisito previo para hacer negocios con el gobierno de los Estados Unidos.

Algunas de las directrices y estándares de ciberseguridad más relevantes del NIST con los que las empresas deben estar familiarizadas son:  

  • Marco de ciberseguridad del NIST: Un marco de ciberseguridad que proporciona orientación sobre una variedad de estándares, prácticas y pautas de ciberseguridad. Cubre cinco funciones clave: identificar, proteger, detectar, responder y recuperar. En los Estados Unidos, la Orden Ejecutiva 13800 hizo que el Marco de Ciberseguridad del NIST fuera un requisito para las agencias federales.
  • Estándares Federales de Procesamiento de Información (FIPS): Un conjunto de estándares de ciberseguridad para sistemas informáticos que pertenecen al Gobierno Federal de los Estados Unidos.
  • NIST SP 800-37: Se relaciona con el uso de la supervisión continua para la gestión de riesgos.
  • NIST SP 800-53: Detalla los controles de seguridad para los sistemas de información pertenecientes al Gobierno Federal de los Estados Unidos.
  • NIST SP 800-137: Se ocupa del uso de la automatización para la supervisión y la presentación de informes.

 

Cumplimiento de PCI DSS para contenedores

El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) define un marco que las empresas que aceptan o procesan pagos con tarjeta deben seguir para reducir el riesgo de fraude y compromiso de datos. Esto hace que el cumplimiento de la norma PCI DSS por parte de los contenedores sea una necesidad para muchas cargas de trabajo de contenedores relacionadas con el comercio electrónico y la venta minorista.

Lograr el cumplimiento de la norma PCI DSS incluye cumplir doce requisitos operativos y de seguridad de los datos, como no utilizar valores predeterminados para las contraseñas y los parámetros de seguridad, mantener un firewall, almacenar de forma segura los datos de los titulares de las tarjetas y actualizar periódicamente los programas antivirus.

Debido a que PCI DSS no es demasiado prescriptivo en cuanto a la forma en que las empresas deben cumplir con estos requisitos, hacerlo bien para las cargas de trabajo de contenedores puede ser un desafío. Herramientas como las plataformas de gestión de la postura de seguridad de Kubernetes (KPSM ) pueden ayudar a las empresas a lograr el cumplimiento de la norma PCI DSS mediante la automatización del proceso de definición de políticas de seguridad, el análisis de las cargas de trabajo de los contenedores en los clústeres K8s, la detección de configuraciones erróneas y la identificación de problemas con los controles de acceso basados en roles (RBAC).

Cumplimiento del GDPR para contenedores

El RGPD se aplica a todas las organizaciones que manejan los datos personales de los ciudadanos de la Unión Europea (UE). Incluye requisitos relacionados con el cifrado y la seudonimización de los datos personales de los ciudadanos de la UE, el mantenimiento de la confidencialidad, integridad y disponibilidad (CIA) de los sistemas implicados en el tratamiento de datos, la realización de pruebas periódicas y la capacidad de restauración en caso de accidente.

Para lograr el cumplimiento del GDPR para las cargas de trabajo en contenedores, las empresas deben adoptar un enfoque múltiple de la seguridad de los contenedores. Por ejemplo, las empresas pueden escanear imágenes en busca de vulnerabilidad, aplicar estrictos controles de acceso a la red, limitar el acceso a datos sensibles y vigilar las amenazas en tiempo real como parte de los pasos necesarios para cumplir con el GDPR.

Puntos de referencia de CIS para contenedores

El Centro para la Seguridad de Internet (CIS, por sus siglas en inglés) mantiene un conjunto de mejores prácticas de configuración segura, conocidas como puntos de referencia de CIS, para una variedad de sistemas de múltiples proveedores. Estas mejores prácticas se basan en el consenso derivado de expertos en ciberseguridad de todo el mundo.

Los puntos de referencia de CIS son ampliamente reconocidos en todo el mundo como una referencia autorizada para prácticas seguras y, a menudo, se superponen con otros estándares de ciberseguridad como los estándares de la serie ISO/IEC 27000, el Marco de Ciberseguridad del NIST y PCI DSS.

CIS publica puntos de referencia para diversas plataformas relacionadas con la nube y los contenedores, como Kubernetes y Docker. Con herramientas como la gestión de la postura de seguridad en la nube (CSPM, por sus siglas en inglés) de nivel empresarial, las organizaciones pueden agilizar el proceso de evaluación de su infraestructura frente a las normas CIS y obtener una visibilidad granular de sus cargas de trabajo en contenedores.

Cumplimiento de contenedores con CloudGuard

Abordar el cumplimiento de la seguridad de los contenedores a escala requiere la combinación adecuada de estrategia, procesos y herramientas. La plataforma CheckPoint CloudGuard es una solución completa de seguridad en la nube y cumplimiento de normativas creada específicamente para abordar una amplia gama de casos de uso de cumplimiento de normativas en contenedores.

Con CloudGuard, las empresas pueden:

  • Automatice el cumplimiento y supervise los cambios de política en tiempo real con el Asesor de confianza automatizado.
  • Cree informes detallados sobre el estado de cumplimiento y vea los niveles de seguridad en el contexto de normativas como PCI DSS y GDPR.
  • Consiga una visibilidad profunda de todos los contenedores, incluso en entornos multi-nube.
  • Aplique políticas seguras de control de acceso para ayudar a mantener el cumplimiento de las normas utilizando el controlador de admisión de CloudGuard.
  • Escanee las imágenes de los contenedores en busca de configuraciones inseguras, vulnerabilidad y malware.

Para ver el poder de CloudGuard de primera mano, regístrese para una demostración gratuita de seguridad de contenedores hoy mismo o inicie una prueba gratuita de CloudGuard CSPM. Alternativamente, si desea profundizar en los desafíos de seguridad de los contenedores, descargue nuestra Guía de seguridad de contenedores gratuita.

x
  Comentarios
Este sitio web utiliza cookies para optimizar su funcionalidad y para fines de análisis y marketing. Al seguir usando este sitio web, usted acepta el uso de cookies. Para obtener más información, lea nuestro Aviso de cookies.