Segurança

Segurança de containers

O que é segurança de containers?

Segurança de containers é a proteção da integridade dos containers. Isso inclui tudo desde as aplicações contidas neles à infraestrutura em que são executados. É necessário que essa segurança seja integrada e contínua. Em geral, a segurança contínua de containers na empresa está relacionada à:

  • Proteção da aplicação e do pipeline de containers
  • Proteção da infraestrutura e dos ambientes de implantação de containers
  • Integração com ferramentas de segurança corporativa, além de atender às política de segurança atuais ou aprimorá-las

Os containers são uma tecnologia famosa porque facilitam a criação, o empacotamento e a divulgação de uma aplicação ou serviço e de todas as suas respectivas dependências. Isso acontece durante todo o ciclo de vida dos containers e em destinos de implantação e ambientes distintos. No entanto, ainda há alguns desafios para incorporar a segurança nos containers: não é possível escalar as checklists e políticas de segurança estáticas nos containers de uma empresa. A cadeia de fornecimento precisa de mais serviços relacionados à política de segurança. As equipes precisam equilibrar as necessidades de governança e de rede dos containers. Além disso, é necessário desacoplar serviços e ferramentas de build e ambiente de execução.

Ao incorporar segurança no pipeline dos containers e proteger a infraestrutura, você garante que eles sejam confiáveis e escaláveis.

Incorpore segurança no pipeline dos containers

Colete as imagens

Os containers são criados a partir de camadas de arquivos. Os usuários dessa tecnologia costumam chamar os arquivos de "imagens de container". A imagem base é a mais importante para fins de segurança, porque ela é usada como ponto de partida para criar imagens derivadas. Encontrar fontes confiáveis de imagens base é o começo da implantação da segurança de containers. No entanto, mesmo com o uso de imagens confiáveis, a adição de aplicações e as alterações na configuração apresentarão novas variáveis. Quando você usa conteúdo externo para criar as aplicações, é necessário ter um gerenciamento proativo para ele.

Ao coletar imagens de container, pergunte a si mesmo:

  • Elas estão assinadas? Isso foi feito por fontes confiáveis?

  • As camadas do sistema operacional e do ambiente de execução estão atualizadas?

  • Com que frequência e rapidez o container será atualizado?

  • Você já identificou problemas conhecidos? Como fará para rastreá-los?

Gerencie o acesso

Depois de conseguir as imagens, a próxima etapa é gerenciar a divulgação de todas as imagens de container usadas pela equipe e o acesso a elas. Ou seja, proteger as imagens obtidas por download e as que você cria. Use um registro privado para controlar o acesso por meio de atribuições de funções, além de gerenciar conteúdo designando metadados ao container. Os metadados fornecem informações para identificar e rastrear vulnerabilidades conhecidas. Com o registro privado, você também automatiza e atribui políticas nas imagens de container armazenadas. Isso diminui os erros humanos que podem gerar vulnerabilidades no container.

Ao decidir como será o gerenciamento do acesso, pergunte a si mesmo:

  • Que controles de acesso baseado em funções você pode usar para gerenciar imagens de container?

  • Há um recurso de aplicação de tags para classificar as imagens? É possível aplicar tags a imagens aprovadas para uma determinada etapa, como desenvolvimento, teste e produção?

  • O registro oferece metadados visíveis para rastrear vulnerabilidades conhecidas?

  • É possível usar o registro para atribuir e automatizar políticas (ex.: verificar assinaturas e códigos etc.)?

Integre o teste de segurança e automatize a implantação

A última etapa do pipeline é a implantação. Depois de concluir as builds, é necessário gerenciá-las de acordo com os padrões do setor. O segredo é entender como automatizar políticas para sinalizar builds que têm problemas de segurança, principalmente ao encontrar novas vulnerabilidades. Como aplicar patches aos containers não é uma solução tão boa quanto recriá-los, a integração do teste de segurança precisa levar em conta políticas que acionem recompilações automatizadas. Para isso, o primeiro passo é executar no componente ferramentas de análise que rastreiem e sinalizem problemas. Depois, é necessário estabelecer ferramentas de implantação automatizada baseada em políticas.

Ao integrar o teste de segurança e automatizar a implantação, pergunte a si mesmo:

  • Como você pode evitar a aplicação de patches nos containers em execução? Em vez disso, como usar acionadores para recompilar e substituir containers com atualizações automatizadas?

Proteja a infraestrutura

Outra camada da segurança de containers é o isolamento proporcionado pelo sistema operacional host. Você precisa de um sistema que forneça isolamento máximo. Essa é uma parte importante para proteger o ambiente de implantações de containers. O sistema operacional host é ativado por meio de um ambiente de execução de container. É ideal que ele seja gerenciado por um sistema de orquestração. Para que a plataforma de containers seja resiliente, use namespaces de rede para isolar aplicações e ambientes, além de anexar armazenamento por meio de montagens seguras. A solução de gerenciamento de APIs precisa incluir autenticação e autorização, integração LDAP, controles de acesso a endpoints e limitação de taxa.

Ao decidir como proteger a infraestrutura de containers, pergunte a si mesmo:

  • Que containers precisam acessar outros e vice-versa? Como eles se descobrirão?

  • Como controlar o acesso aos recursos compartilhados (ex.: rede e armazenamento) e como fazer o gerenciamento deles?

  • Como gerenciar atualizações de host? Todos os containers precisarão ser atualizados ao mesmo tempo?

  • Como monitorar a integridade dos containers?

  • Como escalar automaticamente a capacidade da aplicação para atender à demanda?

Podemos ajudar

O Red Hat® OpenShift Container Platform inclui o Red Hat Enterprise Linux®. Ele automatiza o ciclo de vida da aplicações de containers e integra a segurança ao pipeline deles. Além disso, a solução foi projetada considerando as equipes de DevOps. Com o catálogo de containers, você tem acesso a um grande número de imagens certificadas, ambientes de execução de linguagem, bancos de dados e middlewares executados no mesmo ambiente do Red Hat Enterprise Linux. As imagens da Red Hat são sempre assinadas e verificadas para garantir a procedência e a integridade delas.

A Red Hat monitora as imagens em busca de vulnerabilidades recém-descobertas, incluindo um índice de integridade atualizado constantemente e visível para o público. Ela também fornece atualizações de segurança e recompilações de containers que são enviadas ao registro público.

Além disso, a Red Hat também oferece estes recursos incríveis:

  • Gerenciamento e orquestração de containers em escala web
  • Console da web avançado com recursos de colaboração entre vários usuários
  • Interfaces de IDE e CLI
  • Source-to-image e automação de build
  • Integração com a CI
  • Automação da implantação
  • Suporte para volumes de armazenamento remoto
  • Administração e instalação simplificadas
  • Grande conjunto de serviços, frameworks e linguagens de programação compatíveis

Comece agora mesmo

Cloud computing

Com o OpenShift, é possível criar, desenvolver e implantar aplicações de forma simples e rápida em praticamente qualquer infraestrutura, seja ela pública ou privada.

Saiba mais

Plataformas Linux

O Red Hat Enterprise Linux é uma base estável e comprovada, versátil o suficiente para implantar novas aplicações, virtualizar ambientes e criar uma cloud híbrida segura. Tudo com o apoio do nosso suporte premiado.


Saiba mais

Você pode fazer muito mais com a segurança de containers

Leia o blog
Fale com um especialista da Red Hat