Las 7 mejores prácticas de seguridad de Kubernetes

Kubernetes, una plataforma de código abierto para gestionar y desplegar contenedores a escala mediante clústeres Kubernetes, se ha convertido en la piedra angular de la infraestructura empresarial. Este crecimiento en popularidad también significa que Kubernetes se ha convertido en un objetivo de alto valor para los atacantes. Los exploits basados en Kubernetes, como el Ataque de cryptojacking en Tesla y Siloscape malware Deja esa realidad innegablemente clara.

Dado que Kubernetes es ahora un componente fundamental de la infraestructura de aplicación de las empresas y un punto de ataque habitual para los piratas informáticos, asegurar la implementación de K8s debe ser una prioridad absoluta para las empresas.

Prueba gratuita Guía de seguridad de Kubernetes

Seguridad de Kubernetes VS seguridad de la aplicación Mejores prácticas

En muchos casos, Seguridad de Kubernetes las mejores prácticas se alinean con las mejores prácticas generales de seguridad de la red y de la aplicación. Por ejemplo, el cifrado de los datos en reposo y en tránsito es algo que está sobre la mesa en cualquier entorno de producción - K8s o no. Del mismo modo, es imprescindible manejar adecuadamente los datos sensibles, como las contraseñas y las claves API. En su mayor parte, los equipos DevSecOps empresariales son conscientes de estas mejores prácticas básicas y hacen un buen trabajo aprovechándolas.

Aquí iremos más allá de lo básico y veremos 7 buenas prácticas de seguridad de Kubernetes que pueden llevar la seguridad empresarial al siguiente nivel. 

#1. Haga que la gestión de la postura y la visibilidad de K8 sean una prioridad 

A grandes rasgos, la gestión y visibilidad de la postura de K8 consiste en ser capaz de hacer dos cosas de forma eficaz:

  • Configure todos los clústeres de K8s y las cargas de trabajo de contenedores de forma segura. 
  • Tenga una visibilidad granular continua de todas las cargas de trabajo y configuraciones dentro de la empresa. 

Por supuesto, conseguir estos objetivos es más fácil de decir que de hacer, sobre todo en entornos multinube. Entonces, ¿qué pueden hacer concretamente los equipos de seguridad de las empresas para optimizar su postura de seguridad y visibilidad de Kubernetes? Cubriremos muchos de esos pasos en las siguientes prácticas recomendadas. Sin embargo, un requisito previo es la aceptación de la organización para priorizar la seguridad de K8s en toda la empresa. 

Estos son algunos de los pasos más impactantes que las empresas pueden tomar para comenzar su viaje para mejorar la seguridad de K8s a un alto nivel. 

  • Ordenar la configuración de los clústeres Kubernetes utilizando las mejores prácticas del sector: Aunque cada implementación tiene sus matices, todas las empresas pueden hacer referencia a normas de seguridad de contenedores bien definidas para endurecer sus clústeres K8s y sus cargas de trabajo de contenedores. Por ejemplo, la Guía de seguridad de contenedores de aplicación NIST 800-190 (pdf) y Puntos de referencia del CIS proporcionan orientación experta y son excelentes líneas de base para que las empresas las sigan. Aprovechar estándares como estos puede contribuir en gran medida a mejorar la postura general de seguridad de la empresa. 
  • "Desplazar a la izquierda" y automatizar: La configuración manual es una receta para descuidos y errores humanos. "Desplazar la seguridad a la izquierda", el proceso de integrar la seguridad tan pronto como sea posible en el proceso de desarrollo, ayuda inherentemente a limitar la configuración manual y fomenta la automatización de las mejores prácticas de seguridad. Como resultado, los equipos de DevSecOps pueden incorporar las mejores prácticas de seguridad para Kubernetes en los conductos de CI/CD para garantizar que se aplican de forma coherente y se escalan sin problemas. 
  • Implementar la microsegmentación: Microsegmentación de contenedores y clústeres Kubernetes ayuda a aplicar los principios de confianza cero en toda la infraestructura de la empresa y limita el movimiento lateral en caso de infracción. Como resultado, la implementación de políticas de microsegmentación en las cargas de trabajo empresariales es fundamental para optimizar la postura de seguridad general. 
  • Aplique la anotación y el etiquetado correctos en toda la empresa: Las etiquetas de Kubernetes dictan cómo se agrupan las políticas y los objetos e incluso dónde se despliegan las cargas de trabajo. Como resultado, garantizar que se utilice un etiquetado coherente en todos los clústeres empresariales es un aspecto esencial para mantener una postura de seguridad sólida. Del mismo modo, la aplicación de políticas que requieran anotaciones específicas en las cargas de trabajo y la especificación de manchas y tolerancias para limitar dónde pueden desplegarse las cargas de trabajo son pasos tácticos necesarios para los equipos de DevSecOps. 
  • Aproveche la supervisión continua: Las auditorías de seguridad puntuales, las pruebas de penetración y los escaneos de vulnerabilidad ya no son suficientes. Para mantenerse al día con las amenazas y los perímetros de red en constante iteración, las empresas deben supervisar y escanear continuamente en busca de amenazas, intrusiones y configuraciones inseguras en todos sus clústeres K8s. 

#2. Implementación de la garantía de imagen

Las imágenes de contenedor son los componentes básicos de las cargas de trabajo de K8s. Desafortunadamente, las imágenes de contenedores inseguras son una amenaza generalizada. Un ejemplo: un análisis de 2020 encontró que más de la mitad de las imágenes en Docker Hub tenía una vulnerabilidad crítica. Como resultado, garantizar que las imágenes utilizadas en un Racimo K8s son seguras y proceden de fuentes fiables son importantes prácticas recomendadas de seguridad de Kubernetes. 

Para implementar la garantía de imagen, las empresas deben aprovechar las herramientas de seguridad que:

  • Escanea imágenes durante el desarrollo y el tiempo de ejecución.
  • Evita la implementación de contenedores que no se adhieren a la política.
  • Deconstruye capas de imágenes y analiza paquetes y dependencias dentro de una imagen.
  • Comprueba las imágenes en busca de malware, vulnerabilidad y configuraciones inseguras como contraseñas y claves de cifrado en texto plano.

#3. Ajuste de las políticas con los controladores de admisión

El servidor API de Kubernetes es una superficie de ataque que las empresas deben proteger contra las solicitudes inseguras o maliciosas. Los controladores de admisión son fragmentos de código diseñados para ayudar a hacer precisamente eso. 

Los controladores de admisión actúan sobre las llamadas a la API después de la autorización, pero antes de la persistencia, por lo que pueden ayudar a salvaguardar contra las modificaciones del clúster en caso de error humano, mala configuración o cuentas comprometidas. Con los controladores de admisión, las empresas pueden definir políticas ajustadas para limitar una serie de acciones, como las actualizaciones de pods, la implementación de imágenes y la asignación de roles. 

#4. Proteja las aplicaciones web y las API con un WAAP

Los cortafuegos de aplicaciones web (WAF) y los sistemas de detección y prevención de intrusiones (IDS/IPS) tradicionales no son lo suficientemente flexibles o inteligentes para hacer frente a las amenazas a las que se enfrentan las aplicaciones web y API modernas. Para hacer frente a amenazas como los bots y los ataques de día cero, las empresas deben utilizar una aplicación web y protección de API (WAAP) solución. 

Los WAAP están diseñados pensando en una aplicación moderna nativa en la nube y proporcionan funcionalidades como:

  • API y protección de microservicios.
  • Cortafuegos de próxima generación de aplicaciones web (NGWAF) integrado.
  • Protección contra bots y DDoS.
  • Limitación de velocidad avanzada que reduce los falsos positivos.

#5. Utilice soluciones inteligentes de protección en tiempo de ejecución 

Uno de los actos de equilibrio más difíciles con la seguridad de K8s es identificar el comportamiento malicioso y proteger las cargas de trabajo de los ataques en tiempo real, al tiempo que se limitan los falsos positivos. Para lograr el equilibrio correcto, las empresas necesitan soluciones inteligentes que utilicen múltiples puntos de datos para identificar y mitigar las amenazas. Esto requiere un enfoque triple para la protección en tiempo de ejecución que incluye:

  • Generación de perfiles en tiempo de ejecución: Cada clúster de K8s es diferente y las líneas de base de rendimiento son importantes para detectar comportamientos maliciosos. Las soluciones modernas de protección en tiempo de ejecución realizan perfiles en tiempo de ejecución para establecer líneas de base del comportamiento normal de los flujos de red, la actividad del sistema de archivos y los procesos en ejecución. Estas líneas de base pueden ayudar a los motores de detección de amenazas a detectar y mitigar posibles amenazas con contexto, mejorando la postura de seguridad general y limitando los falsos positivos. 
  • Detección de firmas de comportamiento malintencionado: Una sólida base de datos de comportamientos maliciosos conocidos permite que las herramientas de seguridad detecten amenazas comunes de forma rápida y precisa. Al comparar el comportamiento observado con una base de datos de firmas, se pueden contener las amenazas conocidas antes de que tengan la oportunidad de penetrar en una red. 
  • Motores anti-malware: Los motores inteligentes antimalware y el escaneado continuo de las cargas de trabajo en tiempo de ejecución son componentes críticos de la protección en tiempo de ejecución. Los motores antimalware son el caballo de batalla de la seguridad en tiempo de ejecución y las empresas deben escanear continuamente todas las cargas de trabajo para detectar las amenazas lo antes posible.  

#6. Invierta en la protección contra intrusiones de los K8 modernos

Tecnología IPS/IDS ha sido un elemento básico de la seguridad empresarial durante años, y eso no ha cambiado con el auge de los contenedores y Kubernetes. Fundamentalmente, las herramientas que detectan comportamientos sospechosos y los señalan o previenen siempre serán una piedra angular de la seguridad empresarial. Lo que ha cambiado es la naturaleza dinámica de los activos que IPS/IDS debe proteger y las amenazas a las que se enfrentan las empresas modernas. 

Las soluciones modernas de protección contra intrusiones para Kubernetes deben ser capaces de realizar funciones como:

  • Escaneo de puertos internos desde pods K8s.
  • Analice los datos relacionados con las cuentas, el flujo de tráfico de la aplicación y las operaciones del clúster K8s. 
  • Detecte amenazas modernas como el criptominado. 

Además, los IPS/IDS modernos necesitan operar en entornos multi-nube para proteger los clústeres K8s dondequiera que estén desplegados. 

#7. Enfatice la visualización y los informes periódicos

Para comprender el estado actual de su postura de seguridad, las empresas deben tener acceso a informes y visualizaciones actualizados (p. ej. cuadros de mando) que den cuenta de toda su infraestructura de aplicación. 

No existe un conjunto único de KPI e informes que todas las empresas necesitan, por lo que la personalización es un aspecto importante de una solución eficaz. Sin embargo, cualquier solución de visualización e informes de seguridad K8s de nivel empresarial debe incluir datos agregados de todas las nubes, la posibilidad de desglosarlos para mostrar detalles más granulares y una visión general de los activos y las alertas en un solo panel.

Es importante no pasar por alto la importancia de los paneles y las descripciones generales de alto nivel al evaluar las herramientas de visualización e informes. Uno de los mayores desafíos de muchas herramientas de informes es la sobrecarga de información y la falta de claridad. Hay tanta información que se vuelve incoherente a nivel empresarial. Con las visualizaciones e informes de alto nivel adecuados, las empresas pueden evaluar de forma rápida y eficaz sus Seguridad de contenedores y comprender en qué hallazgos deben enfocarse primero.

Asegure Kubernetes con CloudGuard

Para implementar de manera efectiva las mejores prácticas aquí, las empresas necesitan la estrategia correcta y herramientas diseñadas con Kubernetes y Canalizaciones de CI\CD en mente. Las herramientas tradicionales son simplemente demasiado inflexibles para mantenerse al día con las amenazas modernas. 

Afortunadamente, la plataforma Container Security de CloudGuard ofrece a las empresas un completo conjunto de herramientas diseñadas específicamente para proteger sus cargas de trabajo K8s. De hecho, la plataforma CloudGuard puede ayudar a las empresas a implementar cada una de las 7 mejores prácticas de seguridad de Kubernetes que se describen en este artículo.

Por ejemplo, con CloudGuard, las empresas pueden agregar información de seguridad K8s de diferentes nube para proporcionar visualizaciones de seguridad robustas que no son posibles sin herramientas de seguridad K8s creadas específicamente. Como resultado, las empresas pueden evaluar rápidamente su postura de seguridad a un alto nivel y profundizar rápidamente para cuantificar la naturaleza de amenazas específicas. 

Además, con la plataforma Container Security de CloudGuard, las empresas también se benefician de:

  • Protección completa en todas las nubes en un entorno multinube.
  • Herramientas "Shift Left" que integran la seguridad en el proceso de desarrollo lo antes posible.
  • Implantación automática de controles de seguridad en los conductos CI\CD.
  • Infraestructura robusta como código (IAC) para detectar configuraciones K8s inseguras. 
  • Escaneo de imágenes de contenedores. 
  • Protección automatizada en tiempo de ejecución.
  • Detección de intrusiones, caza de amenazas e inteligencia sobre amenazas. 

Para obtener más información, puede hacer lo siguiente: inscríbase hoy mismo en una demostración de seguridad de contenedores. En la demostración, los expertos en seguridad de CloudGuard ofrecen ejemplos prácticos de cómo puede automatizar la seguridad de Kubernetes. Recibirá la orientación de expertos en temas como el escaneado de CAI, el desplazamiento a la izquierda, la protección automatizada en tiempo de ejecución y la aplicación de las mejores prácticas de seguridad para Kubernetes con el fin de mejorar su postura de seguridad general.

También puedes hacer lo siguiente: descargue nuestra Guía de seguridad para contenedores y Kubernetes, donde aprenderá más sobre los enfoques modernos de la seguridad de los contenedores. Esta guía de seguridad le ofrece perspectivas basadas en pruebas sobre temas como los enfoques modernos de los contenedores y el microservicio, las mejores prácticas para los retos de seguridad críticos a los que se enfrentan las empresas hoy en día y cómo las soluciones de seguridad nativas de la nube pueden automatizar la prevención de amenazas y la protección de las cargas de trabajo.

Comenzar

Protección de carga de trabajo
Seguridad de contenedores
¿Cómo es su postura de seguridad de Kubernetes?
CloudGuard – Recursos de Kubernetes
Centro de conocimientos sobre seguridad en la nube

Temas relacionados

What is Kubernetes?
Seguridad de Kubernetes
Clúster de Kubernetes
cortafuegos de aplicaciones web (WAF)
Autoprotección de la aplicación en tiempo de ejecución (RASP)

x
  Comentarios
Este sitio web emplea cookies para su funcionalidad y con fines analíticos y de marketing. Al continuar empleando este sitio web, usted acepta el uso de cookies. Para más información, lea nuestro Aviso sobre cookies.
Aceptar