maxkabakov - Fotolia

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Firma de software de retail toma visión amplia de la seguridad de Kubernetes

La seguridad de la plataforma Kubernetes ha suplantado la seguridad a nivel de contenedor para empresas como el proveedor de software minorista Aptos a medida que despliegan microservicios en producción.

La seguridad de Kubernetes se ha convertido en el punto focal para proteger las cargas de trabajo nativas de la nube entre las empresas a medida que implementan contenedores y microservicios en producción.

Inicialmente, los especialistas en seguridad de contenedores como Aqua, Twistlock y StackRox se enfocaron en escanear imágenes de contenedores dentro de la secuencia DevOps, luego agregaron escaneos de tiempo de ejecución de contenedores para entornos de producción en vivo a través de agentes implementados en hosts individuales.

Sin embargo, más recientemente, tales herramientas han cambiado su enfoque a la plataforma general de Kubernetes, agregando controles de seguridad basados ​​en la red y mecanismos basados ​​en políticas. También ha surgido una nueva cosecha de jugadores como Octarine; ellos se conectan a la capa de malla del servicio de red del entorno de Kubernetes para profundizar la visibilidad de la seguridad.

Esta tendencia refleja la creciente madurez en las empresas a medida que abordan las implicaciones de seguridad de gran alcance de la implementación de microservicios a través de Kubernetes.

«Con los microservicios y los contenedores en general, existe la oportunidad de multiplicar su riesgo de seguridad de manera exponencial, y ellos multiplican el número de puntos [en la infraestructura] que deben analizarse», dijo Jason Harris, vicepresidente de arquitectura de nube en Aptos, un fabricante de software para minoristas basado en Atlanta. «Kubernetes es nuestro medio para ofrecer microservicios, y también lo estamos viendo como una forma de implementar aplicaciones de forma segura».

Jason Harris

Aptos lanzó por primera vez microservicios basados ​​en contenedores para respaldar los sistemas de punto de venta minorista (POS) de sus clientes a fines de 2018. Pero, en la segunda mitad de 2019, Aptos comenzó a buscar una herramienta que pudiera automatizar específicamente la seguridad de Kubernetes. Revisó productos de Aqua, Twistlock, Qualys y StackRox, y finalmente eligió StackRox.

La herramienta StackRox superó al proveedor titular de seguridad de TI Qualys, que tiene características para el escaneo de imágenes de contenedores, debido a su enfoque en la seguridad de tiempo de ejecución de contenedores en el contexto de la plataforma Kubernetes, dijo Harris. Algunas características de tiempo de ejecución del contenedor Qualys todavía están en versión beta.

«Los microservicios son realmente capas de contenedores que brindan un servicio, y estos contienen componentes de código abierto o pueden existir contenedores no autorizados», dijo Harris. «[Dentro de] Kubernetes en general, [los recursos] se mueven, y ahí es donde StackRox agrega valor: Mira dentro de Kubernetes además de en los contenedores».

El enfoque de StackRox para la integración de seguridad de Kubernetes fue otro punto de venta para Aptos sobre los competidores que también ofrecen escaneo de tiempo de ejecución de contenedores, como Twistlock y Aqua. StackRox se implementa como un DaemonSet privilegiado dentro de los clústeres de Kubernetes, lo que Aptos favoreció como un enfoque más simple para la configuración de seguridad de Kubernetes.

«Cuando implementamos un nuevo clúster, simplemente está envuelto en ese proceso», dijo Harris. «Una vez que establezca ese DaemonSet en el clúster, los nodos nuevos heredarán el daemon automáticamente». La alternativa más compleja requeriría que StackRox se implementara como un contenedor privilegiado en cada host.

La visibilidad de seguridad de Kubernetes mejora el cumplimiento

Los usuarios de productos de seguridad de Kubernetes basados ​​en agentes host los implementan en nodos automáticamente a través de herramientas de infraestructura como código (IaC) como Terraform, pero StackRox también ofreció una gran visibilidad en la configuración del clúster de Kubernetes. Esto ha ayudado a Aptos con el cumplimiento normativo, además de la seguridad de Kubernetes, ya que puede mostrar fácilmente a los auditores una visión integral de su entorno.

«StackRox agregó recientemente una aplicación de administración de configuración de la que obtuvimos mucho más valor del que esperábamos porque se está convirtiendo en una buena herramienta de informes en nuestro ecosistema de Kubernetes», dijo Harris. «Es difícil tener visibilidad incluso de cosas simples como la cantidad de grupos [en producción] y la cantidad de nodos [dentro de ellos], y cuál es mi versión de Kubernetes en todos esos grupos».

Los desafíos en la seguridad de Kubernetes y la seguridad para los microservicios continúan, ya que la tecnología nativa de la nube continúa evolucionando a una velocidad vertiginosa y los clientes minoristas demandan aplicaciones móviles basadas en microservicios. Dichas aplicaciones requerirán que Aptos sea compatible con las API de la tienda de aplicaciones móviles alojadas públicamente y los datos de pago de los clientes, aumentando las apuestas de seguridad de microservicios.

Cualquier tipo de cambio presenta riesgos de seguridad, pero al igual que con otros usuarios de contenedores empresariales, Aptos cree que la combinación de la automatización de IaC para la implementación de Kubernetes y la automatización de seguridad de Kubernetes basada en políticas mejora su postura de seguridad sobre las herramientas que usaba con las aplicaciones monolíticas tradicionales.

«La visibilidad y el control que tenemos en este mundo supera con creces la deriva que se tenía en el mundo más antiguo», dijo Harris. «Tomaré los problemas en el nuevo mundo cualquier día sobre nuestros desafíos heredados».

Si bien la seguridad de Kubernetes fue el principal punto de venta para StackRox, Harris dijo que espera con interés las próximas mejoras en las funciones de escaneo de contenedores de la herramienta para imágenes dentro de los registros de contenedores, lo que ha quedado rezagado respecto de otros especialistas en seguridad de contenedores y herramientas de registro de contenedores como Red Hat Quay .

«La vista que necesitábamos era: ‹OK, muéstrame esta vulnerabilidad en todas mis imágenes y, si cambio a una imagen, muéstrame cualquier vulnerabilidad por encima de cierto nivel›», dijo. «Con suerte, llegaremos allí pronto».

Una característica de StackRox que muestra vulnerabilidades en las imágenes de los contenedores dentro de un registro, incluido su nivel de gravedad, se presentó en KubeCon en noviembre y estará disponible en general este mes, dijo un portavoz de la compañía.

Investigue más sobre Gestión de la seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close