Contáctenos

Kubernetes para el sector público

Brief
Brief
Volum dolori occus, sim reperum harum? More fun of course.

A subheading here for testing. Lorem ipsum dolor sit amet, consectetur adipiscing elit.

And a bit of introduction here. Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua.

Enfoque de confianza cero para la infraestructura de Kubernetes

Desde hace cinco años, Red Hat ejecuta y respalda las cargas de trabajo de Kubernetes en la producción, y durante este período ha aprendido tres lecciones importantes. En primer lugar, los valores predeterminados funcionan por inercia, entonces muchos de los ajustes que utilice desde primer día, estarán presentes en la producción. En segundo lugar, la reducción de la complejidad de los sistemas es un aspecto clave de la seguridad. Hay miles de permutaciones de indicadores que se deben configurar en Kubernetes. En los estudios, se ha demostrado que la mayoría de los fallos de seguridad están relacionados con los cambios en la configuración del usuario final1. La reducción de la sobrecarga cognitiva es esencial para las prácticas recomendadas de protección. Por último, las operaciones adecuadas se traducen en una seguridad óptima. Cuando cada máquina es única, el nivel de complejidad del sistema aumenta, al igual que la posibilidad de que se cometan errores humanos. Luego de que eliminemos las dificultades, podremos automatizar y adaptar los sistemas.

Red Hat ha hecho un esfuerzo deliberado para mejorar Red Hat® OpenShift® Container Platform, en respuesta a estos aprendizajes. En esta datasheet, nos centramos en dos aspectos importantes: nuestro enfoque sobre la validación de los Estándares Federales de Procesamiento de la Información (FIPS) y nuestro paso estratégico para desarrollar Red Hat Enterprise Linux® CoreOS.

Red Hat Enterprise Linux CoreOS: sistema operativo gestionado por Kubernetes

Red Hat Enterprise Linux CoreOS es una distribución especializada de Red Hat Enterprise Linux que está optimizada para ejecutar los contenedores de Linux en Kubernetes. Además, es el host de contenedores ideal: hace un uso mínimo del sistema, es más seguro, tiene menor capacidad de mutación y está actualizado y totalmente gestionado. Como se basa en Red Hat Enterprise Linux, cuenta con un modelo de distribución y soporte integral y consolidado con un ecosistema sólido. Red Hat Enterprise Linux CoreOS no es un sistema operativo independiente, sino un elemento de las distribuciones de Red Hat OpenShift.

Recursos reducidos

Red Hat Enterprise Linux CoreOS contiene solo lo imprescindible para ejecutar los contenedores de Linux en Kubernetes y elimina los elementos de la plataforma Red Hat Enterprise Linux que no cumplen con ese propósito. Los servicios adicionales del sistema operativo y de las aplicaciones solo pueden ejecutarse como cargas de trabajo aisladas en contenedores. Esto permite que, en gran medida, el host sea de solo lectura y esté bloqueado, y que únicamente inicie un conjunto mínimo de servicios del sistema.

Menor capacidad de mutación y mayor seguridad

Red Hat Enterprise Linux CoreOS es una distribución downstream de RHEL y un sistema operativo (SO) host que cumple con las pautas de la publicación especial 800-190 del Instituto Nacional de Estándares y Tecnología (NIST) para reducir las superficies de ataque de una plataforma de contenedores. En concreto, en la publicación se menciona que "Un sistema operativo host específico para los contenedores tiene capacidad reducida y está diseñado específicamente para que solo ejecute los contenedores. El resto de los servicios y las funciones están inhabilitados y en él se utilizan sistemas de archivos de solo lectura y otras prácticas de fortalecimiento"2. Como parte de OpenShift, el uso de Red Hat Enterprise Linux CoreOS ha permitido que Red Hat distribuya este modelo recomendado y altamente seguro.

Red Hat Enterprise Linux CoreOS está pensado para evitar que los cambios fuera de banda que podrían afectar el comportamiento y la seguridad de la aplicación persistan cuando se reinician los nodos. Los procesos de instalación y arranque usan una configuración declarativa generada por el instalador para iniciar el sistema operativo en un estado correcto conocido que se puede verificar de forma criptográfica. El estado inicial monta el directorio /usr como de solo lectura para prevenir que se modifique el tiempo de ejecución de los binarios del sistema. Por otro lado, el aislamiento de las aplicaciones y los servicios en contenedores que se basa en el kernel y emplea tecnologías como SELinux y los grupos de control evita que los cambios en la aplicación influyan en el sistema operativo. Todas las modificaciones permanentes en el sistema operativo de Red Hat Enterprise Linux CoreOS se deben realizar con el control de acceso basado en funciones (RBAC), las interfaces de programación de aplicaciones (API) protegidas o la reimplementación de los hosts con los mismos procesos verificables de encendido.

Actualizado y totalmente gestionado

Red Hat OpenShift Container Platform 4 incorpora Red Hat Enterprise Linux CoreOS como una plataforma optimizada para las operaciones automatizadas del sistema operativo host subyacente. Dado que CoreOS está diseñado para funcionar en OpenShift Container Platform, usted puede gestionar y automatizar la implementación de los hosts subyacentes de los contenedores. Esto incluye la configuración y la implementación de los nodos, las actualizaciones automatizadas del sistema operativo y en los clústeres, así como otros ajustes impulsados por los operadores y las definiciones de recursos personalizados (CRD) de Kubernetes.

Cuando configura los hosts de Red Hat Enterprise Linux CoreOS, solo puede modificar algunos ajustes. La inmutabilidad controlada permite que OpenShift Container Platform almacene el estado más reciente de estos sistemas en el clúster, de manera tal que, en función de las configuraciones actuales, siempre pueda crear máquinas adicionales y realizar actualizaciones. Estas últimas se distribuyen mediante imágenes de contenedores y son parte del proceso de actualización de Red Hat OpenShift. Cuando se implementan, la imagen se extrae y se escribe en el disco, y el cargador de arranque se modifica para iniciarse en la versión nueva. La máquina se reiniciará con actualizaciones graduales para garantizar que el impacto en la capacidad del clúster sea mínimo.

Estándares de seguridad y cumplimiento normativo respaldados

Red Hat Enterprise Linux CoreOS admite estándares de seguridad importantes, como los de Linux respaldados por los FIPS, para garantizar que OpenShift Container Platform pueda cumplir los requisitos de las normas gubernamentales, lo cual simplifica el soporte y reduce los riesgos. Red Hat mantiene su compromiso de ofrecer una plataforma de Kubernetes segura para todos los organismos del sector público. También prueba la plataforma Red Hat Enterprise Linux CoreOS con módulos criptográficos de FIPS validados por NIST en cada versión, lo cual permite garantizar la compatibilidad y la resistencia. Asimismo, dado que su enfoque técnico integra a los FIPS en la plataforma host, usted puede delegar las funciones criptográficas de los elementos en contenedores y las cargas de trabajo del usuario.

Resumen

Red Hat OpenShift ofrece el modelo correcto en el momento adecuado, ahora que los organismos gubernamentales intensifican el traslado de las cargas de trabajo esenciales a Kubernetes. Red Hat Enterprise Linux CoreOS proporciona todas las características necesarias para ofrecer una infraestructura más segura, resistente y adaptable para Kubernetes. Nuestro enfoque sobre los FIPS es lo suficientemente completo como para satisfacer los requisitos de seguridad de los organismos del sector público.

Preguntas y conceptos erróneos comunes

¿Por qué Red Hat OpenShift 4 ya no usa Red Hat Enterprise Linux para todos los hosts?

  • Red Hat determinó que el modelo de Red Hat Enterprise Linux CoreOS era mejor para los hosts que el de la otra plataforma. Revisamos las solicitudes de soporte, todas las permutaciones posibles de indicadores y etiquetas, los errores humanos y otros factores que eran parte de la configuración de Red Hat Enterprise Linux para OpenShift. Eliminamos estos aspectos desconocidos haciendo que el sistema operativo sea un detalle de implementación del propio clúster.

¿Cómo puedo aprovechar las ventajas de Red Hat Enterprise Linux en el proceso de acreditación?

  • Es fundamental lograr acreditar la plataforma completa en lugar de considerar que el sistema operativo es una entidad distinta. Red Hat Enterprise Linux CoreOS se basa en Red Hat Enterprise Linux y contiene menos paquetes que puedan ser explotados. La plataforma de Kubernetes opera el SO, el cual está integrado en ella y a la vez se sincroniza con ella.
  • A pesar de que OpenShift y Red Hat Enterprise Linux CoreOS están acoplados, este último utiliza los mismos elementos básicos que emplea RHEL y se basa en los paquetes, las opciones de configuración, el kernel y otros detalles de implementación iguales. Los administradores de sistemas y los equipos de seguridad (ISSO e ISSM) ya conocen estos elementos.

¿Cómo puedo usar las herramientas tradicionales de seguridad en Red Hat Enterprise Linux CoreOS, como los sistemas de software antivirus o de análisis?

  • Si necesita sistemas de análisis de malware adicionales a los que ofrece Red Hat OpenShift, le recomendamos los proveedores que admiten Kubernetes y las plataformas de nube, ya que lo ayudarán a satisfacer este requisito. Red Hat Enterprise Linux CoreOS incorpora herramientas alternativas para la prevención contra el malware.
  • En OpenShift Container Platform 4.6 y las versiones posteriores está incluido el operador File Integrity Operator, el cual utiliza el entorno de detección avanzada de intrusiones (AIDE). Este entorno es un servicio que crea una base de datos de los hashes de archivos en el sistema, y luego la utiliza para detectar y generar alertas sobre la integridad de los archivos y las intrusiones en el sistema.
  • Cuando las herramientas tradicionales son completamente necesarias, Red Hat Enterprise Linux CoreOS puede admitirlas como servicios basados en los contenedores o en la nube. Por ejemplo, los sistemas de análisis de virus se pueden ejecutar como contenedores con privilegios de acceso a la plataforma subyacente. El análisis de contenido estático también se pueden llevar a cabo fuera de banda en servicios especializados, como un registro de contenedores externo o un host físico aislado.
    • Red Hat trabaja junto con su gran ecosistema de proveedores de software alojado e independiente (HSV/ISV) en la adaptación de las herramientas de terceros para utilizarlas dentro de Red Hat Enterprise Linux CoreOS como elementos del sistema operativo principal de confianza o como cargas útiles basadas en los contenedores que la plataforma puede aislar y gestionar.

¿Por qué difieren los ciclos de vida de soporte de Red Hat Enterprise Linux CoreOS y Red Hat Enterprise Linux?

  • Red Hat Enterprise Linux CoreOS no es un sistema operativo independiente y no está destinado para su uso fuera de OpenShift Container Platform. Es parte de Red Hat OpenShift y comparte el ciclo de vida del soporte de dicho producto. 
  • Dado que poseen el mismo ciclo de vida, se facilita la aplicación de las correcciones actualizadas de los puntos vulnerables y las exposiciones comunes (CVE), las cuales se distribuyen en las actualizaciones de las versiones secundarias de Red Hat OpenShift. 
  • Red Hat Enterprise Linux CoreOS proporciona un ciclo de vida corto pero bien definido para fomentar las prácticas de seguridad recomendadas en cuanto a la aplicación de parches y las actualizaciones y, al mismo tiempo, reducir los costos asociados con el mantenimiento y las operaciones. Promueve el uso de procesos de seguridad permanentes, como DevSecOps y los regímenes de cumplimiento normativo. Además, elimina los riesgos relacionados con el uso de los elementos de software más antiguos.

¿Cómo puedo usar las imágenes personalizadas de las máquinas virtuales (VM) que ofrece el organismo al que pertenezco con los complementos de seguridad requeridos?

  • En Red Hat Enterprise Linux CoreOS, MachineConfigs son objetos de la API equiparables a las imágenes de VM, pero ofrecen una replicación mayor a medida que el sistema operativo se actualiza y se le aplican parches. Red Hat codifica estos objetos en indicadores de cumplimiento de los estándares de seguridad comunes, como NIST 800-53, y por ello puede proporcionar el equivalente a esta imagen que los usuarios no tienen que mantener de forma independiente. 

¿Por qué Red Hat Enterprise Linux CoreOS no incluye determinados paquetes que se necesitan para la certificación?

  • Red Hat Enterprise Linux CoreOS reduce la superficie de ataque y los puntos vulnerables posibles limitando el conjunto básico de paquetes únicamente a los que sean esenciales. Solo estarán los que sean requeridos para ejecutar los contenedores de Linux en Kubernetes de manera óptima. Si es necesario, se pueden usar otros paquetes adicionales mediante las cargas útiles basadas en los contenedores que la plataforma pueda aislar y gestionar.
  • Debe considerar la certificación y la acreditación para Red Hat Enterprise Linux CoreOS solo cuando se trate de sistemas más grandes que incluyan las cargas útiles, las funciones de auditoría y supervisión externas y otros elementos necesarios para proporcionar las garantías de seguridad. Estos paquetes y funciones relacionadas pueden ponerse a disposición.

¿Cómo acredito Red Hat Enterprise Linux CoreOS?

  • Red Hat Enterprise Linux CoreOS se debe gestionar y acreditar como parte de Red Hat OpenShift. Los asesores deben confiar en el estado de la seguridad y la gestión del ciclo de vida y las aserciones de los proveedores.
  • Red Hat Enterprise Linux CoreOS no es un sistema operativo de uso general como Red Hat Enterprise Linux, sino una parte de esta plataforma. Por ello, no requiere controles para el acceso de los usuarios y gestión del ciclo de vida similares.

¿Qué sucede si la seguridad requiere de una puerta trasera para el análisis o las correcciones, como una clave SSH en el sistema?

  • Red Hat Enterprise Linux CoreOS usa un modelo de seguridad de confianza cero diseñado en la nube y considera que todo acceso que no esté controlado ni gestionado es un aspecto vulnerable posible. El enfoque preferido para aumentar la replicación de las actualizaciones en todo el clúster es el uso de las API y el RBAC, ya que permite evitar los cambios únicos o fuera de banda que suelen causar desajustes en la configuración. El soporte que ofrecen los proveedores de Red Hat solucionará los problemas con el lanzamiento de versiones nuevas que reemplacen los sistemas actuales. 
  • Asimismo, el operador OpenShift Compliance Operator automatiza el análisis y la resolución de problemas relacionados con el cumplimiento normativo, y de esta manera elimina la necesidad de tener un protocolo SSH u otras puertas traseras de análisis. También utiliza las API estándar de Kubernetes y OpenShift, a las cuales se accede con los controles del RBAC, para analizar los nodos de Red Hat Enterprise Linux CoreOS con los estándares del Protocolo de automatización del contenido de seguridad (SCAP) proporcionado. De manera opcional, puede corregir ciertas infracciones de cumplimiento con MachineConfigs y el operador de MachineConfig.

Conclusión

Las empresas que deseen obtener los beneficios de trasladar sus sistemas a una plataforma de Kubernetes como Red Hat OpenShift, desde el comienzo deben adoptar los enfoques técnicos que se centran en la seguridad y se ajustan a los contenedores de Linux y Kubernetes. Red Hat Enterprise Linux CoreOS no es un sistema operativo de uso general y únicamente está disponible como parte de Red Hat OpenShift. Solo proporciona lo necesario para ejecutar Kubernetes y contenedores de manera óptima y para que se pueda gestionar junto con la plataforma. De manera predeterminada, es más seguro y evita el tipo de acceso que dejaba expuestos a los sistemas anteriores.

Visite https://www.redhat.com/es/technologies/cloud-computing/openshift/try-it para obtener más información y descargar una prueba sin costo de Red Hat OpenShift.

1 Panetta, Kasey. "Is the cloud secure?" Gartner, octubre de 2020.
2 Souppaya, Murugiah, John Morello y Karen Scarfone. "NIST Special Publication 800–190: Application Container Security Guide", Instituto Nacional de Estándares y Tecnología, septiembre de 2017.

Red Hat logoLinkedInYouTubeFacebookTwitter

Productos

Herramientas

Realice pruebas, compras y ventas

Comunicarse

Acerca de Red Hat

Somos el proveedor líder a nivel mundial de soluciones empresariales de código abierto, incluyendo Linux, cloud, contenedores y Kubernetes. Ofrecemos soluciones reforzadas, las cuales permiten que las empresas trabajen en distintas plataformas y entornos con facilidad, desde el centro de datos principal hasta el extremo de la red.

Suscríbase a nuestra newsletter, Red Hat Shares

Suscríbase ahora

Seleccionar idioma