Reforzado, listo y sin costo: Evolución de la seguridad de los contenedores

Hoy anunciamos la disponibilidad general (GA) de Red Hat Hardened Images. Se trata de un catálogo sin costo de imágenes de contenedores que distribuye correcciones de seguridad rápidamente, lo que ayuda a que los equipos se anticipen a las vulnerabilidades y exposiciones comunes (CVE) en lugar de ir atrás constantemente. Nos encargamos del trabajo pesado de la reducción y el refuerzo de las imágenes para que tus equipos dejen de buscar falsos positivos y se centren en lo que realmente importa: tu código y la seguridad de tus aplicaciones.

Comenzamos este proceso con el Project Hummingbird. Si lo has estado siguiendo, habrás visto cómo perfeccionamos el contenido, las imágenes y el enfoque de distribución con cientos de usuarios con acceso anticipado. Lo que comenzó como un experimento para reducir la superficie de ataque de los contenedores se convirtió en un catálogo listo para la producción de más de 45 imágenes que abarcan más de 150 variantes, todas creadas en el canal de software de confianza de Red Hat. Project Hummingbird seguirá siendo el motor de innovación que genera Red Hat Hardened Images. 

Figura 1. Catálogo de Red Hat Hardened Images

El problema: El volumen de CVE se encuentra con la tolerancia cero

Comenzamos Project Hummingbird después de hablar con decenas de organizaciones y escuchar la misma frustración una y otra vez: la seguridad de los contenedores se había convertido en una pérdida de tiempo costosa.

La cantidad de CVE se ha disparado más allá de lo que los equipos pueden gestionar razonablemente. En la actualidad, se notifican de media alrededor de 160 CVE cada día y, entre los escáneres automatizados y las herramientas de detección asistidas por inteligencia artificial, esperamos que esa cifra siga aumentando. Un solo análisis de contenedores puede detectar cientos de vulnerabilidades. Determinar cuáles son realmente importantes en un gran entorno donde se ejecutan decenas de miles de contenedores puede parecer una tarea imposible.

La tolerancia al riesgo se reduce debido a las presiones normativas, geopolíticas y relacionadas con la inteligencia artificial. Los marcos de cumplimiento y las políticas de seguridad de las organizaciones exigen cada vez más que los equipos aborden cada vulnerabilidad identificada, independientemente de si se puede explotar o no. Cuando las imágenes de contenedores contienen paquetes y dependencias innecesarios, puede resultar imposible cumplir este estándar.

La solución: Menos superficie, soluciones más rápidas

Red Hat Hardened Images existe para ayudar a los usuarios que sienten la presión de esta nueva realidad. Menos software significa menos CVE. Cuando tu imagen contiene solo lo que tu aplicación necesita para ejecutarse, la cuestión del triaje se simplifica: si está en la imagen, es importante. Y cuando es importante, nuestro canal altamente autónomo ofrece correcciones rápidamente.

Red Hat Hardened Images se centra en tecnologías en las que Red Hat tiene participación en la comunidad upstream y experiencia en producción, y donde puede ofrecer un soporte útil. El catálogo de GA abarca lenguajes, entornos de ejecución, bases de datos, servidores web y utilidades que impulsan las cargas de trabajo empresariales, como Python, Node.js, Go, Java, .NET, PostgreSQL, Valkey, Nginx y HAProxy, entre otros. Estos representan los componentes principales de open source que las empresas siempre nos dicen que son los más importantes como base para sus aplicaciones.

Estamos ampliando el catálogo y lo hacemos de forma deliberada. Cuando agregamos una imagen nueva, nos comprometemos a realizar un seguimiento detallado de la tecnología principal y de todas las dependencias y vulnerabilidades relevantes, para que podamos brindar soporte con el mismo rigor que aplicamos al resto del catálogo. Priorizamos la calidad sobre la cantidad.

Cada imagen sigue un enfoque de hardening uniforme: 

• Arquitectura distroless: Las imágenes no incluyen shell de forma predeterminada, ni administrador de paquetes, ni componentes innecesarios que amplíen la superficie de ataque.
• Varias variantes: Las imágenes predeterminadas buscan equilibrar los principios de distroless con la compatibilidad con las imágenes upstream existentes. Las imágenes de builder conservan el hardening y permiten la instalación de paquetes para ayudar a personalizar las construcciones. También hay variantes con validación FIPS para entornos regulados y construcciones específicas para arquitecturas (AMD64 y Arm64) para diferentes objetivos de implementación.
• Hardening integral: Se aplica hardening a todo lo relacionado con las imágenes, desde la procedencia de la fuente y las opciones del compilador hasta los valores predeterminados de seguridad de la imagen y la minimización general. El hardening se realiza en todos los niveles, y la configuración relacionada con el cumplimiento se puede verificar mediante OpenSCAP.
• Cadena de suministro confiable: Las dependencias provienen del canal de compilación SLSA3 de Red Hat, lo que mantiene una cadena de confianza verificable desde la fuente hasta el artefacto.
• Remediación automatizada: Nuestros flujos de trabajo rastrean las fuentes upstream y de seguridad para construir, probar y entregar correcciones, normalmente a las pocas horas de que se solucione una vulnerabilidad.

Prueba Red Hat Hardened Images hoy mismo

Red Hat Hardened Images ya está disponible para el público en general. Cada imagen del catálogo es gratuita y puedes utilizarla en cualquier distribución de Linux, versión de Kubernetes o motor de contenedores. Si te interesan imágenes específicas que no se ofrecen actualmente, avísanos a través del botón «Solicitar una imagen» en el sitio web.

También sabemos que algunos usuarios necesitan opciones de ciclo de vida más largas que las que ofrecen actualmente las versiones upstream. En un futuro cercano, planeamos ofrecer imágenes con soporte a largo plazo (LTS) para satisfacer estas necesidades. El soporte LTS será opcional y estará disponible a través de un modelo de suscripción sencillo.

Agradecemos a los cientos de usuarios de acceso anticipado que probaron estas imágenes, reportaron problemas y nos impulsaron a perfeccionar nuestro enfoque. Tus comentarios dieron forma a lo que lanzamos hoy.

Si no conoces Red Hat Hardened Images, puedes empezar explorando el catálogo.