Lo que las empresas necesitan saber


Container Technologies ha alterado el mundo de TI durante los últimos media docena de años, y el ritmo del cambio ha abierto muchas oportunidades para que los gerentes de TI se beneficien de los beneficios de la tecnología.

De la mano Esto, sin embargo, afecta las implementaciones existentes. Las empresas que usan contenedores a menudo tienen que lidiar con nuevos métodos de trabajo, lo que conduce a interrupciones.

Tim Mackey, estratega jefe de seguridad de Synopsys, dice que las compañías primero deben preguntar qué mejoras de seguridad harán que los contenedores informen a la organización y qué cambios adicionales se necesitan antes de avanzar con toda su fuerza.

Estas empresas deben reconocer que habrá repercusiones que pueden ser perjudiciales para el negocio, pero que están preparadas adecuadamente. Gran parte de esta fricción se puede evitar.

Según una encuesta realizada por la empresa de seguridad Aqua, la seguridad fue el desafío más frecuentemente reportado cuando se preguntó a las empresas sobre sus principales problemas con la entrega de contenedores. Por lo tanto, está claro que la mayoría de las empresas son plenamente conscientes de los problemas que enfrentan.

Mackey afirma que se podrían tomar algunos pasos específicos, que incluyen:

  • Revisión de la administración de parches, escalabilidad de aplicaciones y planes de recuperación ante desastres al contener aplicaciones.
  • Comprender el acceso a datos y los cambios de registro causados ​​por las implementaciones de contenedores.
  • Asegurarse de que solo los binarios requeridos explícitamente se incluyan en la imagen del contenedor solo haga lo que se requiere.
  • Asegurarse de que todos los tipos de inicios de sesión interactivos estén bloqueados y que las imágenes del contenedor se ejecuten sin permisos elevados.

Fusión

Patch Management es un área particularmente importante para la seguridad de contenedores. dice Mackey "Iniciar sesión en un contenedor en ejecución en producción introduce un vector de ataque que no necesita estar allí", dice. "La instalación del software de administración de parches en una imagen de contenedor aumenta la superficie de ataque y dificulta la administración de aplicaciones. El parcheo dinámico de un contenedor en ejecución significa que el sistema de administración de parches está en conflicto con el sistema de orquestación.

En este contexto, los gerentes de seguridad deben asegurarse de que los procesos se ejecuten en el orden correcto para que sean efectivos. "La solución correcta en este contexto es parchear la imagen del contenedor y luego hacer que las réplicas existentes sean destruidas por el sistema de orquestación replicando con versiones parcheadas", dice Mackey. El único problema cuyo Necesita estar al tanto de los usuarios de contenedores. Gavin Millard, vicepresidente de servicios de noticias de Tenable, una compañía de riesgos cibernéticos, dice que la mayor amenaza para la seguridad de los contenedores es agrupar bibliotecas inseguras en aplicaciones en contenedores.

Método de ataque y posible agujero de seguridad. "

Según Millard, estas vulnerabilidades pueden ser aún más peligrosas por las prácticas laborales de equipos DevOps . "Desafortunadamente, una versión de contenedor preferida se puede usar muchas veces, lo que introduce y expone estas vulnerabilidades a alta velocidad".

"Es fundamental asegurarse de que los contenedores estén actualizados para reducir la disponibilidad de bibliotecas vulnerables Debe revisarse y validarse continuamente para garantizar que no se escapen problemas antiguos durante el proceso de compilación, o que se detecten y resuelvan errores.

Uno de los cambios clave que enfrentan muchas empresas es, por supuesto, la creciente aceptación de Cloud como vehículo para administrar las cargas de trabajo de TI. Esto ha traído muchos beneficios, pero cuando se trata de contenerización, moverse a la nube plantea riesgos adicionales, no tanto al usar la nube en sí, sino que es necesario un monitoreo cercano y un control estricto.

Como señala Millard, "la contenedorización en entornos de nube conlleva una serie de riesgos cibernéticos. Por lo tanto, es importante que los proveedores de la nube implementen políticas de administración de identidad. Idealmente, las aplicaciones en contenedores y las salvaguardas, como el escaneo de imágenes de contenedores y el análisis de la composición del software, deberían integrarse en el sistema de compilación. "

Mackey apoya esta opinión. "Como con todos los sistemas, es muy posible utilizar un sistema inseguro en la producción", dice. "Principalmente, tales sistemas son el resultado de implementaciones simplificadas o estándar. Por esta razón, una revisión exhaustiva de las opciones de seguridad disponibles es crucial.

"Preguntas como" ¿Está habilitado SELinux o AppArmor? "O" ¿Cómo se configura efectivamente el tráfico en la lista blanca de la estructura de mi red? "Son las respuestas a las preguntas que determinan qué tan segura es la implementación".

Sin embargo, Mackey enfatiza que la responsabilidad final recae en los usuarios de los servicios basados ​​en la nube. "Siempre serán responsables de la seguridad de su aplicación". dice: "Esto significa toda la superficie de ataque del contenedor y su contenido, la configuración predeterminada de la aplicación, el modelo de amenaza asociado con esa superficie de ataque y la tarea de parchear las imágenes del contenedor.

"Los proveedores de la nube administran el sistema de orquestación y, en general, han impuesto o al menos han expuesto al mínimo un conjunto de políticas de seguridad estrictas, lo que permite a los usuarios centrarse en la seguridad de sus aplicaciones transfiriendo el riesgo de operar el sistema contenedor a un proveedor de la nube . "

Otra forma

Los entornos descritos anteriormente se basan en la premisa de que los contenedores están distribuidos en un servidor distribuido por una computadora host, pero existe otra posibilidad.

Computación de gotas ha sido pionero en el uso de contenedores en un entorno de usuario final, por lo que el riesgo de comprometer una computadora host es bajo Peter von Oven, CEO de Droplet, dice: " Distinguir Docker y Kubernetes gran parte de lo que hacemos, nos centramos en el escritorio y podemos es Ejecute el contenedor Droplet sin conexión si es necesario. "

Por ejemplo, esto significa que las compañías pueden llamar versiones reales en línea de aplicaciones populares, incluso si son para una plataforma diferente. "Por lo tanto, un usuario de Apple puede usar la versión de Microsoft de Visio, no la versión fuera de línea, que carece de algunas características. Esto permite a los usuarios de Mac acceder exactamente a las mismas funciones que los usuarios de Windows. "

Según Von Oven, sin embargo, la principal diferencia radica en el nivel de seguridad que ofrece Droplet, y en la forma en que el enfoque difiere del de las empresas de contenedores tradicionales.

"La clave de esto es el aislamiento", dice. "El contenedor se ejecuta como una aplicación y se extrae del sistema operativo subyacente del dispositivo host, al igual que un sistema operativo [operating system] en una máquina virtual se extrae del hardware utilizando un hipervisor . Esto significa que el contenedor no depende del sistema operativo subyacente y se comunica directamente con el hardware. "

Las empresas que desean tomar la ruta de los contenedores y mantenerse a salvo, ciertamente tienen muchas opciones. Es importante identificar y responder a posibles vulnerabilidades. La contenedorización no se detendrá y es bueno estar preparado para ello.



Control de obras 3000 de Cea Ordenadores