Iniciar sesión / Registrar Cuenta

Seguridad

Seguridad de los contenedores

¿Qué es la seguridad de los contenedores?

La seguridad de los contenedores es la protección de la integridad de los contenedores. Esto incluye todos los aspectos, desde las aplicaciones que contienen hasta la infraestructura en la que se basan. La seguridad de los contenedores debe estar integrada y ser permanente. En general, la seguridad permanente de los contenedores de la empresa consiste en lo siguiente:

  • Proteger el proceso de los contenedores y sus aplicaciones
  • Proteger la infraestructura y los entornos de implementación de los contenedores
  • Lograr la integración con las herramientas de seguridad de la empresa y cumplir con las políticas de seguridad actuales, o mejorarlas

Los contenedores son populares porque permiten crear, empaquetar y promover aplicaciones o servicios (y todas sus dependencias) con facilidad durante todo su ciclo de vida, en distintos entornos y con diferentes objetivos de implementación. Sin embargo, aún existen algunos desafíos en torno a este tema. Las listas de verificación y las políticas de seguridad estáticas no abarcan los contenedores en la empresa. La cadena de suministros necesita más servicios de políticas de seguridad. Los equipos deben equilibrar las necesidades conexiones de red y control de los contenedores. Es necesario poder separar los servicios y las herramientas de diseño y tiempo de ejecución.

Si incorpora la seguridad al proceso de un contenedor y protege su infraestructura, podrá garantizar la confiabilidad y la escalabilidad de sus contenedores. Conozca la opinión de los especialistas sobre la seguridad de toda la pila de aplicaciones en contenedores y de su ciclo de vida a través de esta serie de webinars.


Incorporación de la seguridad al proceso de un contenedor

Recopilación de imágenes

Los contenedores se crean a partir de capas de archivos. La comunidad de contenedores suele llamar a estos archivos "imágenes en contenedores". La imagen de base es la más importante para la seguridad, dado que se usa como punto de partida para crear las imágenes derivadas. Para comenzar a proteger los contenedores, lo primero que debe hacer es hallar fuentes confiables para las imágenes de base. Sin embargo, incluso al usar imágenes confiables, cuando se agregan aplicaciones y se modifica la configuración, se introducen variables nuevas. Si emplea contenido externo para diseñar sus aplicaciones, debe tener en cuenta la gestión proactiva de este.

Al recopilar las imágenes en contenedores, deberá preguntarse lo siguiente:

  • ¿Las imágenes en contenedores están registradas y provienen de fuentes confiables?

  • ¿Están actualizados el tiempo de ejecución y el sistema operativo?

  • ¿Qué tan rápido y con qué frecuencia se actualizará el contenedor?

  • ¿Se identifican los problemas conocidos? ¿Se realizará un seguimiento de ellos? ¿De qué forma?

Gestión del acceso

Una vez que haya recopilado las imágenes, el siguiente paso consiste en gestionar el acceso a todas las imágenes en contenedores que utiliza su equipo y su promoción. Esto implica proteger no solo las imágenes que descarga, sino también las que crea. Usar un registro privado le permitirá controlar el acceso a través de asignaciones basadas en funciones y gestionar el contenido mediante la asignación de metadatos al contenedor. Los metadatos proporcionarán información, como la identificación y el seguimiento de los puntos vulnerables conocidos. Un registro privado también le permite automatizar y asignar políticas para las imágenes en contenedores almacenadas, lo que minimizará los errores humanos que podrían generar puntos vulnerables en el contenedor.

Al decidir cómo gestionar el acceso, tenga en cuenta las siguientes preguntas:

  • ¿Qué controles de acceso basado en funciones puede usar para gestionar las imágenes en contenedores?

  • ¿Tiene la posibilidad de etiquetar las imágenes para poder clasificarlas? ¿Puede etiquetar las imágenes, según se aprueben, solo para la etapa de desarrollo y luego para la de prueba y la de producción?

  • ¿El registro proporciona metadatos visibles que le permitan hacer un seguimiento de los puntos vulnerables conocidos?

  • ¿Puede usar el registro para asignar y automatizar las políticas (p. ej., verificar las firmas, escanear códigos, etc.)?

Integración de las pruebas de seguridad y automatización de la implementación

La última etapa del proceso es la implementación. Una vez que haya completado sus diseños, deberá gestionarlos en función de los estándares del sector. La clave es entender cómo automatizar las políticas para identificar los diseños que tengan problemas de seguridad, especialmente a medida que se detectan nuevos puntos vulnerables de este tipo. Siempre es preferible volver a diseñar los contenedores y no ejecutar parches en ellos. Por eso, al integrar las pruebas de seguridad, debe tener en cuenta cuáles son aquellas que habilitan el rediseño automático de los contenedores. La primera parte de esta etapa es ejecutar las herramientas de análisis de elementos que pueden realizar un seguimiento de los problemas e identificarlos. La segunda parte consiste en determinar las herramientas para la implementación automática y basada en políticas.

Al integrar las pruebas de seguridad y automatizar la implementación, considere los siguientes interrogantes:

  • ¿Cómo puede evitar utilizar parches en los contenedores en ejecución y, en su lugar, usar desencadenadores para volver a diseñar y reemplazar los contenedores con actualizaciones automáticas?


Defender su infraestructura

Otra capa de la seguridad de los contenedores es el aislamiento que aporta el sistema operativo (SO) host. Se necesita un sistema operativo host que proporcione el mayor aislamiento del contenedor. Este es un aspecto importante a la hora de proteger su entorno de implementaciones de contenedores. El sistema operativo host se habilita utilizando un tiempo de ejecución del contenedor, que idealmente es gestionado mediante un sistema de coordinación. Para que su plataforma de contenedores sea resistente, debe utilizar espacios de nombres de red para aislar las aplicaciones y los entornos, y adjuntar el almacenamiento por medio de montajes seguros. Una solución de gestión de API debe incluir autenticación y autorización, integración LDAP, controles de acceso en los extremos y límites de frecuencia.

Al decidir cómo proteger su infraestructura de contenedores, considere las siguientes preguntas:

  • ¿Qué contenedores necesitan poder acceder los unos a los otros? ¿Cómo harán para detectarse?

  • ¿Cómo controlará el acceso a los recursos compartidos (p. ej., la red y el almacenamiento) y su gestión?

  • ¿Cómo gestionará las actualizaciones del host? ¿Todos los contenedores requerirán actualizaciones al mismo tiempo?

  • ¿Cómo supervisará el estado del contenedor?

  • ¿Cómo hará para ampliar automáticamente la capacidad de la aplicación a fin de satisfacer la demanda?


Podemos ayudarlo

Red Hat® OpenShift Container Platform incluye Red Hat Enterprise Linux®. Esta solución automatiza el ciclo de vida de las aplicaciones en contenedores, incorpora la seguridad al proceso de un contenedor y está diseñada para los equipos de DevOps. Nuestro catálogo de contenedores le proporciona acceso a una gran cantidad de imágenes certificadas, tiempos de ejecución de lenguajes, bases de datos y middleware que pueden ejecutarse en los mismos lugares que Red Hat Enterprise Linux. Las imágenes de Red Hat siempre están registradas y verificadas para garantizar su procedencia e integridad.

Red Hat controla nuestras imágenes en contenedores para detectar los puntos vulnerables identificados recientemente (lo que incluye un índice de estado público que se actualiza de forma permanente) y lanza actualizaciones de seguridad y nuevos diseños de contenedores que se envían a nuestro registro público.

Además, también ofrece las siguientes características útiles:

  • Coordinación y gestión de contenedores a escala web
  • Consola web completa con funciones de colaboración para distintos usuarios
  • Interfaces CLI e IDE
  • Automatización del diseño y herramienta Source-to-Image
  • Integración con CI
  • Automatización de la implementación
  • Soporte para volúmenes de almacenamiento remoto
  • Instalación y administración simplificadas
  • Amplia variedad de servicios, marcos y lenguajes de programación compatibles

Comenzar ya

Cloud computing

OpenShift le permite crear, desarrollar y realizar implementaciones de manera rápida y sencilla en casi cualquier infraestructura, ya sea pública o privada.

Plataformas Linux

Red Hat Enterprise Linux es una base estable y probada, lo suficientemente versátil para implementar aplicaciones nuevas, virtualizar entornos y crear una nube híbrida segura, y todo con el respaldo de nuestro soporte galardonado.


La seguridad de los contenedores tiene mucho más que ofrecer