Segurança do tempo de execução do contêiner

Os contêineres são a base da infraestrutura nativa da nuvem. Eles são um divisor de águas em termos de escalabilidade e velocidade, mas seu aumento em popularidade criou um desafio de segurança de contêineres para as empresas modernas. Por exemplo, uma falha de segurança recente no AWS Elastic Container Registry (ECR) poderia ter permitido que um agente de ameaça injetasse código malicioso nas imagens de contêiner de outros usuários.

Abaixo, analisamos mais de perto o que é segurança em tempo de execução de contêineres, cinco ameaças à segurança de contêineres em tempo de execução que as empresas precisam conhecer e as principais práticas e ferramentas recomendadas para melhorar a postura geral de segurança da carga de trabalho.

Solicite uma demo Saiba mais

O que é segurança de tempo de execução de contêiner?

A segurança do tempo de execução do contêiner é o conjunto de ferramentas e práticas que protegem os contêineres desde a instanciação até o encerramento. É um subconjunto de segurança de contêiner e proteção de carga de trabalho que trata de proteger tudo o que acontece com um contêiner, desde a instanciação até o encerramento. Por exemplo, a segurança do tempo de execução do contêiner lida com a verificação de vulnerabilidades em contêineres em execução, mas com a verificação do código-fonte em texto simples. Isso significa que os scanners de vulnerabilidade são um exemplo de ferramentas de segurança de contêineres em tempo de execução, mas um scanner SAST não é.

No entanto, a segurança do tempo de execução do contêiner não é um conceito isolado. Além dos próprios contêineres, a proteção do código-fonte, do Kubernetes (K8s) e da infraestrutura como código (IaC) são aspectos importantes do fornecimento de defesa profunda que preparam os esforços de segurança do tempo de execução dos contêineres corporativos para o sucesso.

As cinco principais ameaças à segurança do tempo de execução de contêineres que as empresas precisam saber

As cinco ameaças à segurança do tempo de execução de contêineres abaixo podem criar riscos significativos para empresas que executam cargas de trabalho de contêineres.

  1. Implantação de contêiner não autorizada: Deploy Container (T1610) da lista de técnicas do MITRE ATT&CK usadas por adversários corporativos é um ótimo exemplo de ameaça à segurança de contêineres. Com esta técnica, os invasores implantam um contêiner – por exemplo, usando os comandos create e start do Docker – que contornam os controles de segurança e permitem explorações.
  2. Configurações incorretas e configurações inseguras: configurações inseguras são um dos riscos mais comuns à segurança de contêineres. Por exemplo, um contêiner que expõe portas de rede desnecessárias ou codifica chaves de API são exemplos de configurações inseguras.
  3. Imagens de contêineres com malware: esse risco é especialmente prevalente quando as empresas usam registros de contêineres públicos. Os agentes de ameaças podem incorporar malware em imagens de contêiner e depois publicá-las em registros públicos para uso das empresas.
  4. Ataques de escalonamento de privilégios: há uma variedade de ataques de escalonamento de privilégios que podem levar um invasor a obter acesso root a um contêiner ou ao host subjacente. Esses ataques geralmente começam explorando uma configuração insegura ou uma vulnerabilidade existente.
  5. Vulnerabilidade não corrigida: vulnerabilidade incomparável, como um bug de controle de acesso em um aplicativo, fornece aos agentes de ameaças um caminho mais fácil para comprometer um contêiner.

Como encontrar e remediar riscos de tempo de execução de segurança de contêineres

Consistente com o conceito de segurança shift left, a detecção precoce é fundamental para uma segurança eficaz do tempo de execução do contêiner. Idealmente, as empresas devem detectar ameaças antes mesmo de ocorrer a instanciação do contêiner.

No entanto, isso nem sempre é prático. É aí que entram em ação a verificação em tempo de execução e a detecção de ameaças. Depois que uma ameaça é detectada, o ideal é que ela seja corrigida automaticamente de uma forma que limite de forma inteligente os falsos positivos. Para os restantes casos, os profissionais de segurança deverão ser rapidamente alertados para tomarem medidas corretivas.

5 práticas recomendadas de segurança de contêineres em tempo de execução

As cinco práticas recomendadas abaixo podem ajudar as empresas a encontrar e remediar com eficácia os riscos de segurança no tempo de execução do contêiner.

  1. Execute apenas imagens de contêiner confiáveis: somente a execução de imagens de contêiner confiáveis de repositórios seguros limita o risco de instanciar uma imagem insegura.
  2. Implemente verificação contínua de vulnerabilidades: verificações de segurança pontuais são úteis, mas não suficientes. Para se manterem à frente da evolução das ameaças, as empresas devem verificar continuamente as cargas de trabalho para detectar ameaças em tempo real.
  3. Execute contêineres com usuários de baixo privilégio: as empresas devem evitar executar contêineres como usuário root ou com o sinalizador Docker –privileged. Geralmente, os contêineres não devem precisar de acesso root ao ambiente host, portanto, usar root viola o princípio do menor privilégio. Da mesma forma, o sinalizador –privileged ignora controles de segurança importantes.
  4. Não habilite sistemas de arquivos graváveis: os contêineres geralmente são efêmeros. Habilitar sistemas de arquivos graváveis cria o potencial para que invasores escrevam e executem códigos maliciosos.
  5. Centralize e automatize a visibilidade e a aplicação de políticas: monitorar e proteger manualmente os contêineres não é escalável. Também está sujeito a erros humanos. Tanto quanto possível, as empresas devem aproveitar ferramentas que centralizem e automatizem a visibilidade da segurança e das políticas de contêineres.

A segurança eficaz do tempo de execução do contêiner requer uma abordagem holística

A segurança do tempo de execução do contêiner não existe no vácuo. Por exemplo, a segurança IaC e a segurança do tempo de execução do contêiner andam de mãos dadas. Para manter uma postura de segurança forte, as empresas precisam implementar soluções holísticas que integrem a segurança em todo o ciclo de vida de desenvolvimento de software (SDLC). Isso significa que ferramentas que permitem visibilidade e segurança em toda a empresa em toda a nuvem e fornecem segurança onde quer que as empresas executem contêineres são essenciais para a proteção moderna da carga de trabalho e do tempo de execução.

Segurança de tempo de execução de contêiner com proteção CloudGuard Workload

CloudGuard Workload Protection é uma solução de segurança de carga de trabalho nativa da nuvem. Proporciona visibilidade, prevenção de ameaças e permite Conformidade em ambientes multinuvem. Com o CloudGuard, as empresas obtêm segurança abrangente e automatizada a partir de uma plataforma centralizada. Os benefícios da proteção CloudGuard Workload incluem:

  • Segurança de contêineres: os recursos de segurança de contêineres do CloudGuard incluem visibilidade profunda em clusters K8s, verificação de imagens de contêineres, prevenção de ameaças em tempo real e aplicação de políticas por meio de um controlador central de admissões.
  • Segurança sem servidor: os aplicativos sem servidor criam um novo desafio de segurança para as empresas. O CloudGuard ajuda as empresas a mitigar os riscos de Segurança sem servidor com defesa comportamental que pode detectar possível uso indevido e abuso de funções sem servidor.
  • segurança do aplicativo: CloudGuard AppSec é alimentado por um mecanismo de IA contextual com patente pendente. O CloudGuard primeiro define o comportamento normal e, em seguida, cria perfis para pontuar solicitações de maneira inteligente e reduzir falsos positivos sem comprometer a postura de segurança corporativa.

Se você estiver interessado em aprender mais sobre segurança de contêineres, inscreva-se hoje mesmo para umademo .

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, o senhor concorda com o uso de cookies. Para obter mais informações, leia nosso avisocookies .
OK