Iniciar sesión / Registrar Cuenta
Jump to section

¿Qué es la seguridad de los contenedores?

Copiar URL

 

La seguridad de los contenedores consiste en proteger su integridad. Incluye todos los aspectos, desde las aplicaciones que contienen hasta la infraestructura en la que se basan. La seguridad de los contenedores debe estar integrada y ser permanente. En general, la seguridad permanente de los contenedores de la empresa consiste en dos tareas:

  • Proteger el proceso de los contenedores y las aplicaciones
  • Proteger la infraestructura y los entornos de implementación de los contenedores

Incorporación de la seguridad al proceso de los contenedores

Siga estos pasos:

Recopilación de imágenes

Los contenedores se crean a partir de capas de archivos, a los que la comunidad de los contenedores suele referirse como "imágenes de contenedores". Las imágenes de base son fundamentales para la seguridad, ya que funcionan como punto de partida para crear otras derivadas. Para comenzar a proteger los contenedores, lo primero que debe hacer es hallar fuentes confiables para las imágenes de base. Sin embargo, incluso si utiliza imágenes confiables, cuando se agregan aplicaciones y se modifica la configuración, se introducen variables nuevas. Si emplea contenido externo para diseñar sus aplicaciones, debe tener en cuenta la gestión anticipada de este.

  • Lograr la integración con las herramientas de seguridad de la empresa y cumplir con las políticas de seguridad actuales, o mejorarlas

Los contenedores son muy utilizados porque permiten diseñar, empaquetar y promover aplicaciones o servicios (y todas sus dependencias) con facilidad durante todo el ciclo de vida, en distintos entornos y con diferentes objetivos de implementación. Sin embargo, todavía existen algunos desafíos en torno a su seguridad: las listas de verificación y las políticas de seguridad estáticas no abarcan los contenedores en la empresa; la cadena de suministro necesita más servicios relacionados con las políticas de seguridad; y los equipos deben equilibrar las necesidades de conexión de redes y control de los contenedores. Es necesario poder separar los servicios y las herramientas que se emplean en el diseño y los tiempos de ejecución.

Si incorpora la seguridad al proceso de los contenedores y protege su infraestructura, podrá garantizar que sus contenedores sean confiables y puedan ampliarse. Mire esta serie de webinars para conocer la opinión de los especialistas sobre la seguridad de toda la pila de aplicaciones en contenedores y su ciclo de vida.

Cuando recopile las imágenes de contenedores, hágase una serie de preguntas:

¿Las imágenes de contenedores están firmadas y provienen de fuentes confiables?
¿Están actualizados el tiempo de ejecución y el sistema operativo?
¿Qué tan rápido se actualizará el contenedor y con qué frecuencia lo hará?
¿Se han identificado los problemas conocidos? ¿De qué forma se realizará un seguimiento de ellos?

Una vez que haya recopilado las imágenes de contenedores, el siguiente paso consiste en gestionar el acceso a las que utiliza el equipo y su promoción, lo cual implica proteger no solo aquellas que descarga, sino también las que crea. Si usa un registro privado, podrá controlar el acceso a través de asignaciones basadas en funciones y, a la vez, gestionar el contenido mediante la asignación de metadatos al contenedor. Los metadatos proporcionarán información, como la identificación y el seguimiento de los puntos vulnerables conocidos. Un registro privado también le permite automatizar y asignar políticas para las imágenes de contenedores almacenadas, lo cual reduce los errores humanos que podrían generar puntos vulnerables en el contenedor.

Cuando decida cómo gestionar el acceso, hágase una serie de preguntas:

¿Qué controles de acceso basado en funciones puede usar para gestionar las imágenes de contenedores?
¿Es posible etiquetar las imágenes para facilitar su clasificación? ¿Puede etiquetar las imágenes para indicar que están aprobadas solo para la etapa de desarrollo, luego para la de prueba y finalmente para la de producción?
¿El registro proporciona metadatos visibles que le permitan hacer un seguimiento de los puntos vulnerables conocidos?
¿Puede usar el registro para asignar y automatizar las políticas (p. ej., verificar las firmas, escanear códigos, etc.)?

La última etapa del proceso es la implementación. Una vez que haya completado sus diseños, deberá gestionarlos en función de los estándares del sector. La clave es entender de qué forma puede automatizar las políticas para identificar los diseños que tengan problemas de seguridad, especialmente a medida que se detectan nuevos puntos vulnerables en este aspecto. Siempre es más conveniente volver a diseñar los contenedores que ejecutar parches en ellos. Por eso, al integrar las pruebas de seguridad, debe tener en cuenta las políticas que activan el rediseño automático. La primera parte de esta etapa es ejecutar las herramientas de análisis de los elementos que pueden realizar un seguimiento de los problemas e identificarlos. La segunda parte consiste en determinar las herramientas para la implementación automática y basada en políticas.

Cuando integre las pruebas de seguridad y la implementación automatizada, hágase una serie de preguntas:

¿Cómo puede evitar aplicar parches en los contenedores en ejecución y, en su lugar, usar activadores para volver a diseñarlos y reemplazarlos con actualizaciones automáticas?
 

Otra capa de la seguridad de los contenedores es el aislamiento que aporta el sistema operativo (SO) host. Por eso, debe optar por uno que ofrezca el mayor aislamiento posible para los contenedores. Este es un aspecto importante de la protección de su entorno de implementaciones de contenedores. El SO host se habilita con un tiempo de ejecución de contenedores, el cual idealmente se gestiona por medio de un sistema de organización. Para que su plataforma de contenedores sea resistente, debe utilizar espacios de nombres de red que aíslen las aplicaciones y los entornos, y conectar el almacenamiento por medio de montajes seguros. Las soluciones de gestión de las API deben incluir funciones de autenticación y autorización, integración con el protocolo LDAP, controles de acceso en los extremos y límites de frecuencia.

Cuando decida cómo proteger su infraestructura de contenedores, hágase una serie de preguntas:

¿Qué contenedores necesitan poder acceder a otros? ¿Cómo harán para detectarse?
¿Cómo controlará el acceso a los recursos compartidos (p. ej., la red y el almacenamiento) y su gestión?
¿Cómo gestionará las actualizaciones del host? ¿Todos los contenedores requerirán actualizaciones al mismo tiempo?
¿Cómo supervisará el estado de los contenedores?
¿Cómo ajustará automáticamente la capacidad de las aplicaciones para satisfacer la demanda?

Red Hat® OpenShift® incluye Red Hat Enterprise Linux®. Esta solución, que está diseñada especialmente para los equipos de DevOps, automatiza el ciclo de vida de las aplicaciones en contenedores e incorpora la seguridad al proceso de los contenedores. Nuestro catálogo de contenedores permite acceder a una gran cantidad de imágenes certificadas, tiempos de ejecución de lenguajes, bases de datos y middleware que pueden ejecutarse en los mismos lugares que Red Hat Enterprise Linux. Las imágenes de Red Hat siempre están firmadas y verificadas, lo cual garantiza su procedencia e integridad.

Controlamos nuestras imágenes de contenedores para detectar puntos vulnerables identificados recientemente (lo cual incluye un índice de estado público que se actualiza de forma permanente) y lanzamos actualizaciones de seguridad y nuevos diseños de contenedores que se envían a nuestro registro público. Consulte el informe anual sobre los riesgos de seguridad de los productos de Red Hat y conozca nuestra respuesta ante los puntos vulnerables de seguridad conocidos que afectan a los sistemas de software empresarial de todo el mundo cada año.

Los partners de seguridad de Red Hat pueden ampliar y mejorar las funciones de los contenedores en este aspecto a través de integraciones certificadas. Red Hat OpenShift cuenta con seguridad integrada a la plataforma, la cual complementa las soluciones de estos partners para proteger las aplicaciones y los contenedores durante el ciclo de vida de DevOps.

También ofrece otras características útiles:

Organización y gestión de contenedores a escala web
Consola web completa con funciones de colaboración para distintos usuarios
Interfaces CLI e IDE
Automatización del diseño y herramienta Source-to-Image
Integración con CI
Automatización de la implementación
Admisión de volúmenes de almacenamiento remoto
Instalación y administración simplificadas

Compatibilidad con una amplia variedad de servicios, marcos y lenguajes de programación

Primeros pasos

Red Hat OpenShift

OpenShift le permite crear, desarrollar y realizar implementaciones de manera rápida y sencilla en casi cualquier infraestructura, ya sea pública o privada.

Red Hat Enterprise Linux

Red Hat Enterprise Linux es una base estable y probada, suficientemente versátil para implementar aplicaciones nuevas, virtualizar entornos y crear una nube híbrida segura, gracias al respaldo de nuestro soporte galardonado.

La seguridad de los contenedores tiene mucho más que ofrecer