La conciencia del riesgo, los principios clásicos de la ciberseguridad y las medidas defensivas específicas aumentan la seguridad de los datos y procesos. Los administradores de TI utilizan su propia seguridad de contenedores o la proporcionada por los proveedores de servicios en la nube para configurar aplicaciones y operar procesos de manera ágil y flexible.
Pero los contenedores son, en última instancia, aplicaciones ejecutables y pueden representar un riesgo. Los servidores host de contenedores y los registros amplían la superficie de ataque. Los principios clásicos de seguridad de TI y una mayor sensibilidad a las amenazas ayudan a cerrar las brechas emergentes.
Contenedores en la nube o en las instalaciones
Los contenedores, ya sean de propiedad privada o proporcionados a través de un proveedor de la nube, ofrecen a los piratas informáticos cuatro áreas de ataque:
• el registro del que un usuario obtiene las imágenes para el contenedor;
• el tiempo de ejecución del contenedor;
• el anfitrión del contenedor; así como
• el nivel de orquestación de contenedores.
Los atacantes llegan a estos cuatro puntos críticos de seguridad de diversas formas. En última instancia, pueden iniciar los movimientos laterales necesarios desde cualquier extremo de la red de destino. Después de eso, los atacantes pueden comprometer el registro, el host del contenedor con sus imágenes o los clústeres con múltiples imágenes redundantes o hacer un mal uso de las imágenes legítimas para sus propósitos. Sobre todo, quieren utilizar los recursos para sus propios fines, por ejemplo, para criptominería, o servicios de sabotaje.
Por lo tanto, los gerentes de seguridad de TI deben estar atentos a las siguientes áreas de defensa de TI:
Teatro de Defensa 1: Ver imágenes
Ya sea que los usuarios obtengan sus imágenes de contenedores de una nube pública o de un registro privado, deben tener cuidado. Los atacantes pueden atacar el registro y utilizarlo para ofrecer imágenes manipuladas malintencionadamente y aparentemente legítimas para su descarga.
solución: Los administradores de TI solo tienen la seguridad adecuada si utilizan imágenes probadas y actualizadas de una fuente segura. Además, los administradores de TI solo deben usar aquellos servicios que realmente necesitan. Una vez que haya descargado una imagen, manténgala actualizada y vea si se informan riesgos de seguridad.
Teatro de defensa 2: Supervise el tiempo de ejecución del contenedor
El acceso al tiempo de ejecución de un contenedor brinda a los atacantes una variedad de oportunidades potencialmente de gran alcance. Por ejemplo, acceden a una vulnerabilidad y la portan dentro de la empresa, ejecutan comandos maliciosos o usan una imagen legítima, por ejemplo con un sistema operativo Ubuntu, como contenedor de puerta trasera. También pueden obtener acceso a un host a través de un contenedor.
solución: Una protección sólida del tiempo de ejecución del contenedor supervisa los procesos en un contenedor y en el host asociado. Las actualizaciones periódicas de imágenes garantizan una seguridad continua.
Teatro de defensa 3: Protección del contenedor anfitrión
Si los ciberdelincuentes obtienen acceso al entorno del host del contenedor, todos los procesos controlados desde allí están a su alcance. Además, las vulnerabilidades en los servidores de contenedores o los tiempos de ejecución de los contenedores brindan a los atacantes la oportunidad de ejecutar sus propios contenedores.
solución: Las distribuciones de Linux que están especialmente desarrolladas para ejecutar contenedores brindan más seguridad. Cada servidor host también requiere sus propios controles de seguridad para protegerse. Una vez configurados, los hosts deben monitorearse continuamente para detectar nuevas vulnerabilidades. Los riesgos a nivel de sistema operativo ya se eliminan en gran medida si se tienen en cuenta las pautas generales para su configuración segura.
Teatro de Defensa 4: Riesgos de la Orquestación de Contenedores
Las soluciones de seguridad detectan el movimiento lateral de los atacantes en un host Docker (Imagen: Bitdefender).
Los atacantes también tienen como objetivo la administración de los clústeres de contenedores. En principio, esta capa proporciona acceso directo no autorizado a los recursos de destino. Por ejemplo, si los piratas informáticos usan credenciales para un clúster de Kubernetes en una nube pública, pueden manipular todo el clúster de proveedores de servicios. Para los proveedores más pequeños, esto es un riesgo real. Un tablero de orquestación expuesto es una puerta trasera para administrar clústeres de forma remota sin autorización.
solución: Para evitar accesos no autorizados, se recomiendan controles de acceso basados en roles y una asignación económica de derechos a los usuarios. Los hosters o los proveedores de IaaS no deberían poder cambiar nada en los contenedores existentes sin la aprobación del cliente. Además, la comunicación segura entre los pods en un clúster de Kubernetes compartido por diferentes aplicaciones aumenta la seguridad.
La conciencia del riesgo es clave
“La seguridad de los contenedores comienza con la conciencia del riesgo. Si tiene uno, puede aumentar la seguridad de los contenedores con soluciones adecuadas y utilizar sus ventajas con una mejor sensación”, dice Cristian Avram, arquitecto sénior de soluciones de Bitdefender. "En última instancia, se trata de aplicar reglas de seguridad clásicas a los contenedores y las infraestructuras de TI asociadas: control de vulnerabilidades, parches, seguridad automatizada y capacitación de todos los involucrados con las pautas. Se recomienda Zero Trust como mecanismo de seguridad de una tecnología que puede ser monitoreada de manera consciente y continua debido a su gran potencial.”
Más en Bitdefender.com
Acerca de Bitdefender Bitdefender es líder mundial en soluciones de ciberseguridad y software antivirus, y protege más de 500 millones de sistemas en más de 150 países. Desde su fundación en 2001, las innovaciones de la compañía han brindado regularmente excelentes productos de seguridad y protección inteligente para dispositivos, redes y servicios en la nube para clientes privados y empresas. Como proveedor elegido, la tecnología de Bitdefender se encuentra en el 38 por ciento de las soluciones de seguridad implementadas en el mundo y cuenta con la confianza y el reconocimiento de profesionales de la industria, fabricantes y consumidores por igual. www.bitdefender.de