Kubernetesuma plataforma de código aberto para gerenciar e implantar contêineres em escala usando clusters Kubernetes, tornou-se a pedra angular da infraestrutura corporativa. Esse crescimento em popularidade também significa que o Kubernetes também se tornou um alvo de alto valor para os invasores. Explorações baseadas no Kubernetes, como o Ataque de cryptojacking na Tesla e Siloscape malware tornam essa realidade inegavelmente clara.
Como o Kubernetes é agora um componente fundamental da infraestrutura de aplicativos corporativos e um ponto de ataque comum para hackers, proteger a implantação do K8s deve ser a principal prioridade das empresas.
Em muitos casos, Segurança do Kubernetes As práticas recomendadas se alinham às práticas recomendadas gerais de segurança de rede e de aplicativos. Por exemplo, a criptografia de dados em repouso e em trânsito é uma questão de importância em qualquer ambiente de produção - K8s ou não. Da mesma forma, o manuseio adequado de dados confidenciais, como senhas e chaves de API, é obrigatório. Na maioria das vezes, as equipes de DevSecOps das empresas estão cientes dessas práticas recomendadas básicas e fazem um bom trabalho ao aproveitá-las.
Aqui, iremos além do básico e analisaremos 7 práticas recomendadas de segurança do Kubernetes que podem levar a segurança empresarial para o próximo nível.
Em um nível mais elevado, o gerenciamento e a visibilidade da postura do K8s consistem em ser capaz de fazer duas coisas de forma eficaz:
É claro que é mais fácil falar do que fazer para atingir essas metas, principalmente em ambientes com várias nuvens. Então, o que especificamente as equipes de segurança corporativa podem fazer para otimizar a postura e a visibilidade da segurança do Kubernetes? Cobriremos muitas dessas etapas nas práticas recomendadas a seguir. No entanto, um pré-requisito é a adesão da organização para priorizar a segurança dos K8s em toda a empresa.
Aqui estão algumas das etapas mais impactantes que as empresas podem adotar para iniciar sua jornada para melhorar a segurança do K8s em um nível elevado.
As imagens de contêineres são os blocos de construção das cargas de trabalho do K8s. Infelizmente, imagens de contêineres inseguras são uma ameaça generalizada. Caso em questão: uma análise de 2020 descobriu que mais da metade das imagens no Docker Hub tinha uma vulnerabilidade crítica. Como resultado, garantir que as imagens usadas em um Grupo K8s sejam seguros e extraídos de fontes confiáveis são práticas recomendadas importantes de segurança do Kubernetes.
Para implementar a garantia de imagem, as empresas devem utilizar ferramentas de segurança que:
O servidor de API do Kubernetes é uma superfície de ataque que as empresas devem proteger contra solicitações inseguras ou mal-intencionadas. Os controladores de admissão são partes de código projetadas para ajudar a fazer exatamente isso.
Os controladores de admissão atuam nas chamadas de API após a autorização, mas antes da persistência, para que possam ajudar a proteger contra modificações no cluster em caso de erro humano, configurações incorretas ou contas comprometidas. Com os controladores de admissão, as empresas podem definir políticas bem ajustadas para limitar uma variedade de ações, incluindo atualizações de pods, implantação de imagens e atribuições de funções.
Os sistemas tradicionais de firewall de aplicativo da Web (WAF) e de detecção e prevenção de intrusões (IDS/IPS) não são flexíveis nem inteligentes o suficiente para acompanhar as ameaças que os aplicativos da Web e as APIs modernas enfrentam. Para enfrentar ameaças como bots e ataques de dia zero, as empresas devem usar um aplicativo da web e proteção de API (PAA) solução.
Os WAAPs são projetados com o aplicativo moderno nativo da nuvem em mente e oferecem funcionalidades como:
Um dos mais difíceis atos de equilíbrio com a segurança do K8s é identificar o comportamento mal-intencionado e proteger as cargas de trabalho contra ataques em tempo real, limitando os falsos positivos. Para obter o equilíbrio certo, as empresas precisam de soluções inteligentes que usem vários pontos de dados para identificar e atenuar as ameaças. Isso requer uma abordagem em três frentes para a proteção do tempo de execução, que inclui:
Tecnologia IPS/IDS tem sido um elemento básico da segurança empresarial há anos, e isso não mudou com o surgimento de contêineres e Kubernetes. Fundamentalmente, as ferramentas que detectam comportamentos suspeitos e os sinalizam ou evitam sempre serão a pedra angular da segurança empresarial. O que mudou foi a natureza dinâmica dos ativos que o IPS/IDS deve proteger e as ameaças que as empresas modernas enfrentam.
As soluções modernas de proteção contra intrusões para o Kubernetes precisam ser capazes de executar funções como:
Além disso, os IPS/IDS modernos precisam operar em ambientes multinuvem para proteger os clusters de K8s onde quer que sejam implantados.
Para entender o estado atual de sua postura de segurança, as empresas precisam ter acesso a relatórios e visualizações atualizados (por exemplo dashboards) que respondem por toda a infraestrutura do aplicativo.
Não existe um conjunto único de KPIs e relatórios de que todas as empresas precisam, portanto, a personalização é um aspecto importante de uma solução eficaz. No entanto, qualquer solução de visualização e geração de relatórios de segurança K8s de nível empresarial deve incluir dados agregados de todos os nuvens, a capacidade de detalhamento para mostrar detalhes mais granulares e uma visão geral de ativos e alertas em um único painel.
É importante não ignorar a importância dos painéis e das visões gerais de alto nível ao avaliar as ferramentas de visualização e geração de relatórios. Um dos maiores desafios de muitas ferramentas de relatórios é a sobrecarga de informações e a falta de clareza. Há tantas informações que se tornam incoerentes em nível empresarial. Com as visualizações e os relatórios de alto nível corretos, as empresas podem avaliar de forma rápida e eficaz seu desempenho geral. Container Security e entender em quais descobertas eles precisam se concentrar primeiro.
Para implementar efetivamente as práticas recomendadas aqui, as empresas precisam da estratégia certa e ferramentas projetadas com Kubernetes e Pipelines CI\CD em mente. As ferramentas tradicionais são simplesmente inflexíveis demais para acompanhar as ameaças modernas.
Felizmente, a plataforma Container Security da CloudGuard oferece às empresas um conjunto completo de ferramentas criadas especificamente para proteger suas cargas de trabalho K8s. Na verdade, a plataforma CloudGuard pode ajudar as empresas a implementar cada uma das sete práticas recomendadas de segurança do Kubernetes apresentadas neste artigo.
Por exemplo, com o CloudGuard, as empresas podem agregar informações de segurança do K8s de diferentes nuvens para fornecer visualizações de segurança robustas que não são possíveis sem ferramentas de segurança do K8s criadas especificamente para esse fim. Como resultado, as empresas podem avaliar rapidamente sua postura de segurança em um nível elevado e detalhar rapidamente para quantificar a natureza de ameaças específicas.
Além disso, com a plataforma de segurança de contêineres do CloudGuard, as empresas também se beneficiam:
Para saber mais, o senhor pode Inscreva-se hoje mesmo para obter uma segurança de contêiner demo. No site demo, os especialistas em segurança da CloudGuard fornecem exemplos práticos de como o senhor pode automatizar a segurança do Kubernetes. O senhor receberá orientação especializada sobre tópicos como varredura de IAC, deslocamento para a esquerda, proteção automatizada de tempo de execução e implementação de práticas recomendadas de segurança para Kubernetes para melhorar sua postura geral de segurança.
O senhor também pode Baixe nosso Guia de segurança de contêineres e Kubernetes, onde o senhor aprenderá mais sobre as abordagens modernas de segurança de contêineres. Este guia de segurança fornece aos senhores insights baseados em evidências sobre tópicos como abordagens modernas para contêineres e microsserviço, práticas recomendadas para desafios críticos de segurança enfrentados pelas empresas atualmente e como as soluções de segurança nativas da nuvem podem automatizar a prevenção de ameaças e a proteção de cargas de trabalho.