La seguridad es un aspecto importante de cualquier iniciativa digital, y lo mismo ocurre con Kubernetes. Hemos diseñado Red Hat Advanced Cluster Security for Kubernetes para formar una capa de seguridad fundamental en flotas, entornos y plataformas, ya sean nubes públicas, privadas o híbridas. Hoy lanzamos la versión 4.10 de Red Hat Advanced Cluster Security for Kubernetes como parte de nuestro esfuerzo continuo por hacer la vida más fácil a los usuarios de Red Hat OpenShift a la hora de crear y aplicar políticas de seguridad para sus clústeres.
La principal de estas actualizaciones es la nueva integración de la gestión de vulnerabilidades en OpenShift Console, así como la separación de funciones entre las imágenes base y las capas. Esto facilita a los administradores y operadores la gestión de la información relacionada con la seguridad y su mitigación, sin tener que cambiar de panel ni de contexto.
Y, como siempre, con esta versión sentamos aún más las bases para el soporte futuro: Lanzamos una versión preliminar de tecnología de la gestión de vulnerabilidades para máquinas virtuales (VM) que se ejecutan en Red Hat OpenShift Virtualization, y hemos cambiado la forma de gestionar las imágenes base. Más información al respecto más adelante.
Novedades de Red Hat Advanced Cluster Security for Kubernetes
Si quieres empezar ya, regístrate para obtener una prueba gratuita de Red Hat Advanced Cluster Security for Kubernetes. Si quieres más detalles, estas son algunas de las nuevas funciones de la última versión:
- Innovaciones en la gestión de vulnerabilidades
- Imágenes base: Separación de funciones
- Plug-in de OpenShift Console (Technology Preview)
- Gestión de vulnerabilidades para máquinas virtuales (Technology Preview)
- Servidor StackRox MCP (upstream)
- Supervisión de la actividad de archivos (Technology Preview)
- Secretos de registro de clústeres
- Criterios de la política para la fecha de corrección de vulnerabilidades y exposiciones comunes (CVE)
Imágenes base: Separación de funciones
Normalmente, las organizaciones utilizan una imagen base estandarizada (también conocida como imagen de referencia) para mantener una base segura. Estas suelen incluir versiones de proveedores externos, como Red Hat Enterprise Linux (RHEL), así como imágenes personalizadas que diseñan los equipos de DevOps para cumplir con estándares de seguridad específicos.
Con Red Hat Advanced Cluster Security for Kubernetes 4.10, los usuarios pueden designar estas imágenes estandarizadas. Red Hat Advanced Cluster Security for Kubernetes identifica la imagen base dentro de la de una aplicación y distingue sus capas de las que añade el propietario de la aplicación. Un nuevo atributo, denominado "tipo de capa", en los informes de vulnerabilidades aclara exactamente dónde se encuentra un componente. Ten en cuenta que el mismo componente vulnerable puede existir tanto en la imagen base como en las capas de la aplicación de forma simultánea.
Como resultado, obtienes una responsabilidad clara y una resolución más rápida, lo que permite mejorar las métricas de higiene de la imagen base, higiene de las dependencias de aplicaciones y la capacidad de respuesta ante parches de cada equipo.
Plug-in de OpenShift Console (Technology Preview)
En Red Hat Advanced Cluster Security for Kubernetes 4.10, puedes habilitar un nuevo plug-in dinámico para la consola de OpenShift en clústeres protegidos. Este plug-in agrega una pestaña Security que muestra información sobre vulnerabilidades en tiempo real directamente en la interfaz de la consola de OpenShift, lo que elimina la necesidad de cambiar de aplicación. Los beneficios clave incluyen:
- Sin cambios de contexto: Los datos de seguridad están disponibles directamente en el espacio de trabajo principal, lo que elimina la necesidad de alternar entre la consola de OpenShift y el portal de Red Hat Advanced Cluster Security for Kubernetes.
- Resolución más rápida: Los equipos pueden identificar y solucionar los fallos de seguridad en una fase más temprana del ciclo de vida al ver las vulnerabilidades junto con las configuraciones de implementación.
- Visibilidad instantánea: Los datos de vulnerabilidades en tiempo real relevantes para el clúster específico están accesibles de inmediato.
Esta capacidad es una característica de Technology Preview.
Gestión de vulnerabilidades para máquinas virtuales (Technology Preview)
A medida que las organizaciones modernizan las cargas de trabajo heredadas con Red Hat OpenShift Virtualization, es fundamental mantener una postura de seguridad unificada en contenedores y máquinas virtuales. Red Hat Advanced Cluster Security for Kubernetes 4.10 introduce compatibilidad para proteger estos entornos al proporcionar visibilidad sobre las vulnerabilidades de las máquinas virtuales. Los beneficios clave incluyen:
- Gestión unificada de vulnerabilidades: Identifica y gestiona las vulnerabilidades de las máquinas virtuales directamente en la consola de Red Hat Advanced Cluster Security for Kubernetes, junto con las cargas de trabajo en contenedores.
- Visibilidad optimizada: Visualiza todos los activos de OpenShift, incluidos los que se ejecutan como máquinas virtuales, a través de una interfaz única para reducir la complejidad de la gestión.
Esta capacidad es una característica de Technology Preview. Lee la documentación de Scanning virtual machines para obtener más detalles.
Servidor StackRox MCP (upstream)
El servidor StackRox MCP permite identificar exposiciones a CVE en segundos mediante consultas en lenguaje natural, sin necesidad de tener experiencia previa con Red Hat Advanced Cluster Security for Kubernetes. Esto es especialmente valioso para abordar los amenazas de día cero, ya que permite a los usuarios evaluar el riesgo al instante sin navegar por la interfaz de usuario de Red Hat Advanced Cluster Security for Kubernetes ni realizar múltiples llamadas de API. Es posible conectar el servidor MCP a los clientes preferidos, incluido OpenShift Lightspeed, con un alcance de acceso vinculado al token de API específico utilizado en la configuración.
En este momento, el software MCP solo está disponible upstream.
Supervisión de la actividad de archivos (Technology Preview)
Red Hat Advanced Cluster Security for Kubernetes 4.10 presenta una nueva capacidad de supervisión de la actividad de los archivos para detectar interacciones no autorizadas o sospechosas con archivos confidenciales en el host subyacente. Esta capacidad ayuda a las organizaciones a cumplir con los requisitos normativos y de conformidad (como PCI DSS, HIPAA y NIST) que exigen la supervisión y auditoría de la integridad del sistema de archivos. Esta función permite:
- Distinción entre host y contenedor: Red Hat Advanced Cluster Security for Kubernetes distingue entre los cambios iniciados por el host y los iniciados por el contenedor, y asigna automáticamente la actividad a las implementaciones y los espacios de nombres específicos de Kubernetes.
- Visibilidad forense: La función cubre las brechas de visibilidad al registrar la marca de tiempo, el nombre del proceso, la ruta de ejecución y el UID de cada cambio.
- Supervisión de la ruta crítica: Los usuarios pueden supervisar cuatro rutas críticas de nodos:
/etc/passwd, /etc/shadow, /etc/sudoers y /etc/ssh/sshd_config.
Esta capacidad es una característica de Technology Preview.
Secretos de registro de clústeres
El secreto de registro de clústeres (CRS), que se presentó en Red Hat Advanced Cluster Security for Kubernetes 4.9 como Technology Preview, ahora cuenta con soporte completo en RHACS 4.10. Además, este método ya está disponible al realizar la instalación con el operador.
El CRS separa claramente las credenciales utilizadas para el registro inicial de los componentes del clúster protegidos del flujo de trabajo de comunicación interna entre estos componentes.
Este método reemplaza el init bundle obsoleto para el registro. Esto no afecta a los clústeres existentes que utilizaron el init bundle para el registro. Sin embargo, se recomienda usar CRS para el registro de nuevos clústeres, ya que se prevé la eliminación del init bundle en una versión futura.
Criterios de la política para la fecha de corrección de vulnerabilidades y exposiciones comunes (CVE)
RHACS 4.10 añade un nuevo criterio de política basado en la fecha de corrección de CVE. Esto permite a las organizaciones definir políticas que se activan según el momento en que el proveedor puso a disposición, por primera vez, una corrección para una vulnerabilidad.
Con este criterio, los equipos de seguridad pueden automatizar el cumplimiento de los SLA de corrección, garantizando la resolución de las vulnerabilidades críticas en un plazo específico tras el lanzamiento del parche. Esto proporciona una medición más precisa de la capacidad de respuesta ante los parches que usar únicamente la fecha de detección de la CVE.
Obtén más información sobre Red Hat Advanced Cluster Security for Kubernetes 4.10 leyendo las notas de lanzamiento.
Prueba del producto
Red Hat OpenShift Container Platform | Versión de prueba del producto
Sobre el autor
Michael Foster is a CNCF Ambassador, the Community Lead for the open source StackRox project, and Principal Product Marketing Manager for Red Hat based in Toronto. In addition to his open source project responsibilities, he utilizes his applied Kubernetes and container experience with Red Hat Advanced Cluster Security to help organizations secure their Kubernetes environments. With StackRox, Michael hopes organizations can leverage the open source project in their Kubernetes environments and join the open source community through stackrox.io. Outside of work, Michael enjoys staying active, skiing, and tinkering with his various mechanical projects at home. He holds a B.S. in Chemical Engineering from Northeastern University and CKAD, CKA, and CKS certifications.
Más como éste
Más allá de la automatización: Motivos por los que el aumento de las vulnerabilidades de seguridad basadas en la inteligencia artificial exige una defensa técnica humana
Avance de las funciones poscuánticas de SSH en Red Hat Enterprise Linux
Collaboration In Product Security | Compiler
Keeping Track Of Vulnerabilities With CVEs | Compiler
Navegar por canal
Automatización
Las últimas novedades en la automatización de la TI para los equipos, la tecnología y los entornos
Inteligencia artificial
Descubra las actualizaciones en las plataformas que permiten a los clientes ejecutar cargas de trabajo de inteligecia artificial en cualquier lugar
Nube híbrida abierta
Vea como construimos un futuro flexible con la nube híbrida
Seguridad
Vea las últimas novedades sobre cómo reducimos los riesgos en entornos y tecnologías
Edge computing
Conozca las actualizaciones en las plataformas que simplifican las operaciones en el edge
Infraestructura
Vea las últimas novedades sobre la plataforma Linux empresarial líder en el mundo
Aplicaciones
Conozca nuestras soluciones para abordar los desafíos más complejos de las aplicaciones
Virtualización
El futuro de la virtualización empresarial para tus cargas de trabajo locales o en la nube