La Seguridad de Containers Azure es la combinaci¨®n de realizar escaneos de vulnerabilidades a lo largo del ciclo de vida entero del container, usando solamente im¨¢genes confiables de registros privados, limitando privilegios y acceso a usuarios y escaneando y monitoreando continuamente todas las actividades.
Seguridad de Containers Azure
Microsoft Azure es la segunda aplicaci¨®n basada en la nube m¨¢s grande y la que est¨¢ en m¨¢s r¨¢pido crecimiento actualmente disponible en el mercado. Usada por el 95% de las empresas Fortune 500,??es una plataforma de c¨®mputo en la nube que ofrece a los desarrolladores la libertad de desarrollar, gestionar e implementar aplicaciones donde sea. Ofrece una gran variedad de servicios, incluyendo M¨¢quinas Virtuales, Internet of Things, y Containers.
?ofrecen tanto a desarrolladores como a organizaciones la capacidad y la escalabilidad que buscan en un servicio en la nube, junto con la infraestructura necesaria. Sin embargo, a¨²n cuando existen muchos beneficios de construir containers en Azure, no ofrecen seguridad nativa integrada. Depende del cliente asegurar la protecci¨®n de sus containers en Azure.
Cosas para considerar
Estas son algunas cosas que debe considerar para proteger sus containers en Azure:
±õ³¾¨¢²µ±ð²Ô±ð²õ
Como con cualquier container, la protecci¨®n de im¨¢genes en los containers de Azure es uno de los pasos de seguridad m¨¢s importantes que puede tomar. Los containers son construidos desde im¨¢genes almacenadas en repositorios. Cada imagen tiene m¨²ltiples capas de software que pueden, individualmente, contener vulnerabilidades y potencialmente verse comprometidas. Al permitir que ingresen im¨¢genes de container aprobadas a su ambiente de desarrollo, reduce de forma importante la superficie de ataque para los cibercriminales. Es importante tener procesos y herramientas expl¨ªcitos que monitoreen y prevengan el uso de im¨¢genes de container no aprobadas.
Otra opci¨®n para controlar el flujo de containers en el ambiente es el ¡°signing¡± o el ¡°fingerprinting¡± de im¨¢genes. Esto puede ofrecer una cadena de custodia que le permite verificar la integridad de los containers y de las im¨¢genes. Antes de ingresar cualquier imagen el registro, es crucial escanearla para encontrar vulnerabilidades en el container como una ¨²ltima evaluaci¨®n despu¨¦s de que el desarrollo del mismo est¨¢ completo.
Credenciales
La mejor pr¨¢ctica del menor privilegio tambi¨¦n debe de aplicarse a los containers de Azure. Cuando se explota una vulnerabilidad, ya sea a trav¨¦s de im¨¢genes o kernels, le da acceso al atacante e incluso privilegios para acceder a varios clusters y regiones. Asegurarse de que los containers est¨¢n corriendo con el menor privilegio y accesos requeridos posibles para cumplir con sus funciones reduce su exposici¨®n al riesgo.
Al eliminar privilegios no necesarios, en caso de que un empleado cambie de posici¨®n o deje la empresa, reduce la superficie de ataque del container. Tambi¨¦n puede reducir la superficie potencial de ataque al eliminar cualquier privilegio no necesario o no usado del runtime del container.
Registro
Los containers de Azure se construyen a partir de im¨¢genes que se almacenan en un registro p¨²blico o privado. Aunque puede parecer m¨¢s sencillo obtener im¨¢genes desde un registro p¨²blico, esto no garantiza la seguridad. Como se mencion¨® arriba, las im¨¢genes de container tienen m¨²ltiples capas de software, y cada capa puede tener sus propias vulnerabilidades.
Las im¨¢genes de un registro p¨²blico tienen m¨¢s posibilidades de tener software malicioso que aquellas en un registro privado. Las im¨¢genes de un registro privado tienen m¨¢s posibilidades de haber sido escaneadas, y por lo tanto ofrecen un menor grado de riesgo. Los registros privados son gestionados y tienen control de accesos basado en roles, ofreciendo m¨¢s governance y seguridad. Algunos ejemplos de registros privados de im¨¢genes incluyen Azure Container Registry, Docker Trusted Registry, o el proyecto open-source Harbor de la Cloud Native Computing Foundation.
Kernel
Todas las computadoras est¨¢n construidas sobre piezas de hardware. El kernel, una pieza de software embebida dentro del sistema operativo, sirve como un puente para que puedan interactuar el hardware y el resto del sistema. A diferencia de las m¨¢quinas virtuales, los containers tienen tr¨¢fico de red abierto a lo largo de sus servicios as¨ª como a trav¨¦s de un kernel compartido. La capacidad de compartir el kernel host del sistema operativo es uno de los mayores beneficios de los containers; sin embargo, tambi¨¦n es una fuente importante de preocupaciones de seguridad.
No hay mucho aislamiento entre el kernel y los containers durante el runtime, lo cual significa que una vulnerabilidad localizada en el kernel compartido del sistema operativo puede usarse para explotar containers u obtener acceso a ellos. Los atacantes pueden manipular los comportamientos del OS sin inyectar c¨®digo malicioso, simplemente deben alternar los datos del kernel.
Protegiendo containers de Azure
Con su portabilidad, escalabilidad y confianza, no es sorpresa que muchas empresas busquen usar containers de Microsoft Azure en sus aplicaciones. Al asegurar que se completen los escaneos de vulnerabilidades a trav¨¦s de los ciclos de vida de los containers y que toda la actividad es monitoreada y registrada, puede estar tranquilo de que sus containers de Azure est¨¢n seguros.
Investigaciones Relacionadas
Art¨ªculos Relacionados