cutimage - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Guía para CISOs sobre seguridad y despliegue de Kubernetes

La plataforma de orquestación de contenedores Kubernetes proporciona las herramientas necesarias para implementar aplicaciones escalables con eficiencia. Conozca qué pasos deben tomar los CISO para asegurar un entorno Kubernetes.

La computación en la nube brinda acceso a recursos y servicios poderosos y flexibles, pero los desafíos de seguridad continúan. Estos desafíos pueden comprometer aspectos de la nube, como los clusters de Kubernetes, de formas únicas, a medida que la infraestructura de la nube continúa alejándose de las aplicaciones locales heredadas.

El director de seguridad de la información es responsable de salvaguardar los datos de la empresa. Los CISO deben garantizar que las partes interesadas y los clientes se sientan seguros de que el liderazgo se adhiere a las mejores prácticas establecidas y trabaja continuamente para mejorar la postura de seguridad. Para lograr y mantener una postura de seguridad sólida para el entorno de Kubernetes, las nuevas estrategias deben combinarse con los conceptos de seguridad establecidos.

Para empezar, piense en proteger a Kubernetes desde dos perspectivas: características y hábitos.

Una guía para las características de seguridad de Kubernetes

Hay funciones integradas de Kubernetes que se pueden usar para configurar y mantener una implementación segura.

Existen varias formas de autenticar el servicio de API de Kubernetes, dependiendo del servicio administrado de Kubernetes utilizado. Tenga en cuenta que la autenticación se producirá tanto para los usuarios como para los servicios. En general, los CISO deben tener en cuenta que algunos métodos de autenticación exponen demasiado. Una manera fácil de pensar acerca de los métodos de autenticación segura es la siguiente:

  • Un método más seguro es usar tokens OpenID Connect basados ​​en OAuth 2.0, una forma abierta y moderna de autenticación.
  • Los métodos menos seguros incluyen certificados x509 y contraseñas estáticas. Estas son formas de autenticación heredadas y menos seguras.

El control de acceso basado en roles (RBAC) administra quién puede acceder a la API de Kubernetes y qué permisos tienen. Es una mejora sobre el control de acceso basado en atributos heredados, porque es más sencillo de implementar y más fácil de auditar y mantener.

Algunas cosas clave a considerar cuando se asignan permisos con RBAC incluyen lo siguiente:

  • ¿Quién realmente necesita acceso? Solo proporcione acceso de administrador cuando sea necesario.
  • Algunos servicios pueden no necesitar acceso a la API de Kubernetes en absoluto. Deshabilite su acceso.

Al igual que en una red privada virtual, las políticas de red dentro de los clústeres Kubernetes son importantes para dictar el tráfico permitido para llegar a los clústeres. Estas políticas controlan el tráfico dentro de los clústeres y deben examinarse detenidamente.

Recuerde también asegurar los recursos de Kubernetes en el nivel de pod. Esto se puede hacer usando contextos de seguridad de pod, que permiten a los CISO establecer el control de acceso para cualquier pod y los contenedores dentro de los pods seleccionados.

Kubernetes Secrets almacena datos confidenciales, como contraseñas, claves API o tokens de autorización. Los elementos almacenados en objetos secretos ayudan a minimizar su exposición accidental, en lugar de almacenarlos de una manera más convencional, como en una imagen de contenedor.

Hábitos de seguridad de Kubernetes

A medida que las empresas adoptan contenedores y orquestadores de contenedores a un ritmo acelerado, se deben tomar medidas para salvaguardar la infraestructura. Siga estas cuatro mejores prácticas para mejorar la postura de seguridad de los contenedores y los entornos en general.

Divida las cargas de trabajo por necesidad. La información confidencial se debe ejecutar en sus propios recursos, separados de los demás, para que esté más aislada de los puntos de exposición para reducir las infiltraciones.

Use los espacios de nombres para separar los recursos. Al igual que el concepto anterior de separar las cargas de trabajo por función, use espacios de nombres para separar los recursos dentro de Kubernetes. Estos tipos de separaciones lógicas crean aislamiento entre los recursos para disminuir el potencial de actividad maliciosa.

Habilite el registro. El registro de auditoría no solo es útil para las necesidades de cumplimiento. Durante un incidente de seguridad, tenerlo habilitado es una buena práctica efectiva. El rastro de registros puede ser monitoreado y referido en caso de que se requiera forense.

No olvide de asegurar en el nivel del contenedor. Utilice los conceptos utilizados para proteger los clusters de Kubernetes para asegurar los contenedores reales, también. Los detalles se basarán en los contenedores utilizados, como Docker o Rancher. Recuerde que todos los recursos deben considerarse para minimizar los enlaces débiles en su cadena.

Consejos adicionales para optimizar el despliegue de Kubernetes

Además de las características y hábitos de seguridad de Kubernetes, existen algunas medidas notables que los CISO deben tomar para mejorar la implementación en una organización.

Mantenga el despliegue de Kubernetes actualizado. Al igual que con cualquier software que gestione la seguridad, asegúrese de mantener las actualizaciones como parte del proceso de seguridad. Esto ayuda a los CISO a mantenerse actualizados con las últimas correcciones encontradas por Kubernetes y Cloud Native Computing Foundation (CNCF).

Utilice recursos de expertos, como el Centro de Seguridad de Internet (CIS). Explore el CIS Benchmark para Kubernetes, un conjunto de controles realizados por expertos de la industria para ayudar a mantener un ambiente endurecido. No hay necesidad de reinventar la rueda cuando hay profesionales dedicados que trabajan para que el cumplimiento sea accesible.

Mantenga el talento al día y motivado con certificaciones. CNCF proporciona certificaciones útiles para los administradores de Kubernetes. Éstos ayudan a garantizar que los empleados estén al día en el entorno de Kubernetes y también les brindan incentivos y valor como parte de su desarrollo profesional.

Los CISO que ya usan Kubernetes obtienen eficiencia y escalabilidad al administrar equipos de desarrollo que crean aplicaciones y servicios basados ​​en Kubernetes. Como punto de partida, siga las recomendaciones indicadas anteriormente en esta guía de seguridad de Kubernetes para obtener la implementación en un estado seguro. A medida que las amenazas evolucionan, los CISO necesitan refinar y cambiar continuamente para mantenerse seguros y relevantes en este entorno dinámico.

Acerca del autor: Joe Nemer es un investigador y escritor técnico de Cloud Academy, una plataforma de capacitación empresarial en la nube.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close