Segurança de containers

Segurança de containers é o processo de agregar políticas de segurança para garantir a proteção da integridade dos containers. E isso inclui tudo, desde as aplicações contidas neles, até a infraestrutura em que eles são executados. A segurança dos containers deve ser integrada e contínua. Em geral, a segurança contínua de containers na empresa está relacionada à:

• Proteção das aplicações e do pipeline de containers.
• Proteção da infraestrutura e dos ambientes de implantação de containers.

Incorpore segurança no pipeline dos containers

Siga estes passos:

Colete as imagens

Os containers são criados a partir de camadas de arquivos. A comunidade dessa tecnologia costuma chamar os arquivos de "imagens de container". A imagem base é a mais importante para fins de segurança, porque ela é usada como ponto de partida para criar imagens derivadas. Encontrar fontes confiáveis de imagens base é o começo da implantação da segurança de containers. No entanto, mesmo com o uso de imagens confiáveis, a adição de aplicações e as alterações na configuração apresentarão novas variáveis. Quando você usa conteúdo externo para criar as aplicações, é necessário ter um gerenciamento proativo para ele.

• Integração com ferramentas de segurança corporativa, além de conformidade e aprimoramento das políticas de segurança existentes.

Os containers são uma tecnologia popular porque facilitam a criação, o empacotamento e a divulgação de uma aplicação ou serviço e de todas as suas respectivas dependências. Isso acontece durante todo o ciclo de vida dos containers e em destinos de implantação e ambientes distintos. No entanto, há alguns desafios para incorporar a segurança nos containers. Não é possível escalar as listas de verificação e políticas de segurança estáticas para os containers na empresa. A cadeia de fornecimento precisa de mais serviços relacionados à política de segurança. As equipes precisam equilibrar as necessidades de governança e de rede dos containers. Além disso, é necessário desacoplar serviços e ferramentas de compilação e do ambiente de execução.

Ao incorporar a segurança no pipeline e proteger a infraestrutura, você assegura que os containers sejam confiáveis e escaláveis. Veja informações especializadas sobre segurança relacionadas a todo o ciclo de vida e stack de aplicação em container com esta série de webinars.

Ao coletar imagens de container, pergunte-se:

1. Elas estão assinadas e foram feitas por fontes confiáveis?
2. As camadas do sistema operacional e do ambiente de execução estão atualizadas?
3. Com que frequência e rapidez o container será atualizado?
4. Você já identificou problemas conhecidos? Como fará para rastreá-los?

Depois de conseguir as imagens, a próxima etapa é gerenciar a divulgação de todas as imagens de container usadas pela equipe e o acesso a elas. Ou seja, proteger as imagens obtidas por download e as que você cria. Use um registro privado para controlar o acesso por meio de atribuições de funções, além de gerenciar o conteúdo designando metadados ao container. Os metadados fornecem informações para identificar e rastrear vulnerabilidades conhecidas. Com o registro privado, você também automatiza e atribui políticas nas imagens de container armazenadas. Isso diminui os erros humanos que podem gerar vulnerabilidades no container.

Ao decidir como será o gerenciamento do acesso, pergunte-se:

1. Quais controles de acesso baseado em funções você pode usar para gerenciar imagens de container?
2. Há um recurso de aplicação de tags para classificar as imagens? É possível aplicar tags a imagens aprovadas para uma determinada etapa, como desenvolvimento, teste e produção?
3. O registro oferece metadados visíveis para rastrear vulnerabilidades conhecidas?
4. É possível usar o registro para atribuir e automatizar políticas (por exemplo, verificar assinaturas, códigos etc.)?

A última etapa do pipeline é a implantação. Depois de concluir as compilações, é necessário gerenciá-las de acordo com os padrões do setor. O segredo é entender como automatizar políticas para sinalizar compilações que têm problemas de segurança, principalmente ao encontrar novas vulnerabilidades. Como aplicar patches aos containers não é uma solução tão boa quanto recriá-los, a integração do teste de segurança precisa levar em conta políticas que acionem recompilações automatizadas. Para isso, o primeiro passo é executar ferramentas de análise de componentes que rastreiem e sinalizem problemas. Depois, é necessário estabelecer ferramentas de implantação automatizada baseada em políticas.

Ao integrar o teste de segurança e automatizar a implantação, pergunte-se:

1. Como você pode evitar a aplicação de patches nos containers em execução? Em vez disso, como usar acionadores para recompilar e substituir containers com atualizações automatizadas?

Outra camada da segurança de containers é o isolamento proporcionado pelo sistema operacional host. Você precisa de um sistema que forneça isolamento máximo. Essa é uma parte importante para proteger o ambiente de implantações de containers. O sistema operacional host é ativado por meio de um ambiente de execução de container. É ideal que ele seja gerenciado por um sistema de orquestração. Para que a plataforma de containers seja resiliente, use namespaces de rede para isolar aplicações e ambientes, além de anexar armazenamento por meio de ativações seguras. A solução de gerenciamento de APIs precisa incluir autenticação e autorização, integração LDAP, controles de acesso a endpoints e limitação por taxa.

Ao decidir como proteger a infraestrutura de containers, pergunte-se:

1. Quais containers precisam acessar outros? Como eles detectam os outros containers?
2. Como monitorar a integridade dos containers?
3. Como gerenciar atualizações de host? Todos os containers precisarão ser atualizados ao mesmo tempo?
4. Como controlar o acesso aos recursos compartilhados (por exemplo, rede e armazenamento) e como fazer o gerenciamento deles?
5. Como escalar automaticamente a capacidade das aplicações para atender à demanda?

O Red Hat® OpenShift® inclui o Red Hat Enterprise Linux®. Ele automatiza o ciclo de vida das aplicações de containers e integra a segurança ao pipeline deles. Além disso, a solução foi projetada considerando as equipes de DevOps. Com o catálogo de containers , você tem acesso a um grande número de imagens certificadas, ambientes de execução em linguagens diferentes, bancos de dados e middlewares que são executados no mesmo ambiente do Red Hat Enterprise Linux. As imagens da Red Hat são sempre assinadas e verificadas para assegurar a origem e a integridade delas.

Monitoramos as imagens de container em busca de vulnerabilidades recém-descobertas, incluindo um índice de integridade atualizado constantemente e visível para o público. Também oferecemos atualizações de segurança e recompilações de containers que são enviadas ao registro público. Nosso relatório anual de riscos de segurança de soluções da Red Hat está sempre disponível para análise. Ele detalha nossas respostas a vulnerabilidades de segurança identificadas que afetam softwares empresariais em todo o mundo.

Os parceiros de segurança da Red Hat podem ampliar e aprimorar os recursos de proteção de containers usando integrações certificadas. A segurança é integrada à plataforma do Red Hat OpenShift, o que complementa as soluções dos parceiros para proteger as aplicações e containers durante o ciclo de vida do DevOps.

Além disso, também oferecemos estes recursos:

1. Gerenciamento e orquestração de containers em escala web
2. Console web avançado com funcionalidades para colaboração entre vários usuários
3. Source-to-image e automação de compilação
4. Integração com a CI
5. Automação da implantação
6. Interfaces de IDE e CLI
7. Compatibilidade com volumes de armazenamento remoto
8. Administração e instalação simplificadas
9. Grande conjunto de serviços, frameworks e linguagens de programação compatíveis