Cuenta Iniciar sesión
Jump to section

¿Qué es la seguridad de los contenedores?

Copiar URL

 

La seguridad de los contenedores consiste en proteger su integridad. Incluye todos los aspectos, desde las aplicaciones que contienen hasta la infraestructura en la que se basan. La seguridad de los contenedores debe estar integrada y ser permanente. En general, la seguridad permanente de los contenedores de la empresa consiste en dos tareas:

  • Proteger el proceso de los contenedores y las aplicaciones
  • Proteger la infraestructura y los entornos de implementación de los contenedores

Incorporación de la seguridad al proceso de los contenedores

Siga estos pasos:

Recopilación de imágenes

Los contenedores se crean a partir de capas de archivos, a los que la comunidad de los contenedores suele referirse como "imágenes de contenedores". Las imágenes de base son fundamentales para la seguridad, ya que funcionan como punto de partida para crear otras derivadas. Para comenzar a proteger los contenedores, lo primero que debe hacer es hallar fuentes confiables para las imágenes de base. Sin embargo, incluso si utiliza imágenes confiables, cuando se agregan aplicaciones y se modifica la configuración, se introducen variables nuevas. Si emplea contenido externo para diseñar sus aplicaciones, debe tener en cuenta la gestión anticipada de este.

  • Lograr la integración con las herramientas de seguridad de la empresa y cumplir con las políticas de seguridad actuales, o mejorarlas

Los contenedores son muy utilizados porque permiten diseñar, empaquetar y promover aplicaciones o servicios (y todas sus dependencias) con facilidad durante todo el ciclo de vida, en distintos entornos y con diferentes objetivos de implementación. Sin embargo, todavía existen algunos desafíos en torno a su seguridad: las listas de verificación y las políticas de seguridad estáticas no abarcan los contenedores en la empresa; la cadena de suministro necesita más servicios relacionados con las políticas de seguridad; y los equipos deben equilibrar las necesidades de conexión de redes y control de los contenedores. Es necesario poder separar los servicios y las herramientas que se emplean en el diseño y los tiempos de ejecución.

Si incorpora la seguridad al proceso de los contenedores y protege su infraestructura, podrá garantizar que sus contenedores sean confiables y puedan ampliarse. Mire esta serie de webinars para conocer la opinión de los especialistas sobre la seguridad de toda la pila de aplicaciones en contenedores y su ciclo de vida.

Cuando recopile las imágenes de contenedores, hágase una serie de preguntas:

  1. ¿Las imágenes de contenedores están firmadas y provienen de fuentes confiables?
  2. ¿Están actualizados el tiempo de ejecución y el sistema operativo?
  3. ¿Qué tan rápido se actualizará el contenedor y con qué frecuencia lo hará?
  4. ¿Se han identificado los problemas conocidos? ¿De qué forma se realizará un seguimiento de ellos?

Una vez que haya recopilado las imágenes de contenedores, el siguiente paso consiste en gestionar el acceso a las que utiliza el equipo y su promoción, lo cual implica proteger no solo aquellas que descarga, sino también las que crea. Si usa un registro privado, podrá controlar el acceso a través de asignaciones basadas en funciones y, a la vez, gestionar el contenido mediante la asignación de metadatos al contenedor. Los metadatos proporcionarán información, como la identificación y el seguimiento de los puntos vulnerables conocidos. Un registro privado también le permite automatizar y asignar políticas para las imágenes de contenedores almacenadas, lo cual reduce los errores humanos que podrían generar puntos vulnerables en el contenedor.

Cuando decida cómo gestionar el acceso, hágase una serie de preguntas:

  1. ¿Qué controles de acceso basado en funciones puede usar para gestionar las imágenes de contenedores?
  2. ¿Es posible etiquetar las imágenes para facilitar su clasificación? ¿Puede etiquetar las imágenes para indicar que están aprobadas solo para la etapa de desarrollo, luego para la de prueba y finalmente para la de producción?
  3. ¿El registro proporciona metadatos visibles que le permitan hacer un seguimiento de los puntos vulnerables conocidos?
  4. ¿Puede usar el registro para asignar y automatizar las políticas (p. ej., verificar las firmas, escanear códigos, etc.)?

La última etapa del proceso es la implementación. Una vez que haya completado sus diseños, deberá gestionarlos en función de los estándares del sector. La clave es entender de qué forma puede automatizar las políticas para identificar los diseños que tengan problemas de seguridad, especialmente a medida que se detectan nuevos puntos vulnerables en este aspecto. Siempre es más conveniente volver a diseñar los contenedores que ejecutar parches en ellos. Por eso, al integrar las pruebas de seguridad, debe tener en cuenta las políticas que activan el rediseño automático. La primera parte de esta etapa es ejecutar las herramientas de análisis de los elementos que pueden realizar un seguimiento de los problemas e identificarlos. La segunda parte consiste en determinar las herramientas para la implementación automática y basada en políticas.

Cuando integre las pruebas de seguridad y la implementación automatizada, hágase una serie de preguntas:

  1. ¿Cómo puede evitar aplicar parches en los contenedores en ejecución y, en su lugar, usar activadores para volver a diseñarlos y reemplazarlos con actualizaciones automáticas?

Otra capa de la seguridad de los contenedores es el aislamiento que aporta el sistema operativo (SO) host. Por eso, debe optar por uno que ofrezca el mayor aislamiento posible para los contenedores. Este es un aspecto importante de la protección de su entorno de implementaciones de contenedores. El SO host se habilita con un tiempo de ejecución de contenedores, el cual idealmente se gestiona por medio de un sistema de organización. Para que su plataforma de contenedores sea resistente, debe utilizar espacios de nombres de red que aíslen las aplicaciones y los entornos, y conectar el almacenamiento por medio de montajes seguros. Las soluciones de gestión de las API deben incluir funciones de autenticación y autorización, integración con el protocolo LDAP, controles de acceso en los extremos y límites de frecuencia.

Cuando decida cómo proteger su infraestructura de contenedores, hágase una serie de preguntas:

  1. ¿Qué contenedores necesitan poder acceder a otros? ¿Cómo harán para detectarse?
  2. ¿Cómo controlará el acceso a los recursos compartidos (p. ej., la red y el almacenamiento) y su gestión?
  3. ¿Cómo gestionará las actualizaciones del host? ¿Todos los contenedores requerirán actualizaciones al mismo tiempo?
  4. ¿Cómo supervisará el estado de los contenedores?
  5. ¿Cómo ajustará automáticamente la capacidad de las aplicaciones para satisfacer la demanda?

Red Hat® OpenShift® incluye Red Hat Enterprise Linux®. Esta solución, que está diseñada especialmente para los equipos de DevOps, automatiza el ciclo de vida de las aplicaciones en contenedores e incorpora la seguridad al proceso de los contenedores. Nuestro catálogo de contenedores permite acceder a una gran cantidad de imágenes certificadas, tiempos de ejecución de lenguajes, bases de datos y middleware que pueden ejecutarse en los mismos lugares que Red Hat Enterprise Linux. Las imágenes de Red Hat siempre están firmadas y verificadas, lo cual garantiza su procedencia e integridad.

Controlamos nuestras imágenes de contenedores para detectar puntos vulnerables identificados recientemente (lo cual incluye un índice de estado público que se actualiza de forma permanente) y lanzamos actualizaciones de seguridad y nuevos diseños de contenedores que se envían a nuestro registro público. Consulte el informe anual sobre los riesgos de seguridad de los productos de Red Hat y conozca nuestra respuesta ante los puntos vulnerables de seguridad conocidos que afectan a los sistemas de software empresarial de todo el mundo cada año.

Los partners de seguridad de Red Hat pueden ampliar y mejorar las funciones de los contenedores en este aspecto a través de integraciones certificadas. Red Hat OpenShift cuenta con seguridad integrada a la plataforma, la cual complementa las soluciones de estos partners para proteger las aplicaciones y los contenedores durante el ciclo de vida de DevOps.

También ofrece otras características útiles:

  1. Organización y gestión de contenedores a escala web
  2. Consola web completa con funciones de colaboración para distintos usuarios
  3. Interfaces CLI e IDE
  4. Automatización del diseño y herramienta Source-to-Image
  5. Integración con CI
  6. Automatización de la implementación
  7. Admisión de volúmenes de almacenamiento remoto
  8. Instalación y administración simplificadas
  9. Compatibilidad con una amplia variedad de servicios, marcos y lenguajes de programación

Artículos relacionados

ARTÍCULO

Diferencias entre los contenedores y las máquinas virtuales

Las máquinas virtuales (VM) y los contenedores de Linux son entornos informáticos empaquetados que combinan varios elementos de TI y los aíslan del resto del sistema.

ARTÍCULO

¿Qué es la organización de los contenedores?

La organización en contenedores automatiza la implementación, la gestión, la escalabilidad y la conexión en red de los contenedores.

ARTÍCULO

¿Qué es un contenedor de Linux?

Un contenedor de Linux es un conjunto de procesos separados del resto del sistema, los cuales pueden ejecutarse desde una imagen diferente que proporciona todos los archivos necesarios para que funcionen.

Más información sobre los contenedores

Productos

Red Hat OpenShift

Plataforma de contenedores de Kubernetes empresarial con operaciones automatizadas integrales para gestionar implementaciones de nube híbrida, multicloud y edge computing.

Contenido adicional

Lista de verificación

Desarrollo de aplicaciones en contenedores: cinco temas para analizar con su equipo

Ebook

Los tres aspectos más importantes que debe tener en cuenta a la hora de seleccionar una plataforma de Kubernetes

Capacitación

Curso de capacitación gratuito

Running Containers with Red Hat Technical Overview

Curso de capacitación gratuito

Containers, Kubernetes and Red Hat OpenShift Technical Overview

Curso de capacitación gratuito

Developing Cloud-Native Applications with Microservices Architectures

Illustration - mail

Obtenga más contenido como este

Suscríbase a nuestro boletín informativo: Red Hat Shares.

Red Hat logo LinkedInYouTubeFacebookTwitter

Productos

Herramientas

Comprar, vender, explorar

Comunicarse

Acerca de Red Hat

Somos el proveedor líder a nivel mundial de soluciones empresariales de código abierto, incluyendo Linux, cloud, contenedores y Kubernetes. Ofrecemos soluciones reforzadas, las cuales permiten que las empresas trabajen en distintas plataformas y entornos con facilidad, desde el centro de datos principal hasta el extremo de la red.

Suscríbase a nuestra newsletter, Red Hat Shares

Suscríbase ahora

Seleccionar idioma

© 2022 Red Hat, Inc. Red Hat Summit