Análisis de la guía NSA / CISA para fortalecer la seguridad de Kubernetes

Kubernetes es el estándar de facto para la orquestación de contenedores. Otro estudio encontró que el 88% de las empresas usan Kubernetes para la orquestación de contenedores y el 74% de ellas lo usan en producción. Sin embargo, la seguridad sigue siendo una preocupación importante, ya que el 94% de las organizaciones informaron al menos un incidente de seguridad en su entorno de Kubernetes en los últimos 12 meses.
Ⓒ Banco de imágenes de Getty

Para que las organizaciones utilicen Kubernetes de forma segura, es importante seguir las mejores prácticas y directrices de la industria al adoptar Kubernetes. La Guía de endurecimiento de Kubernetes, publicada recientemente por la Agencia de Seguridad Nacional de EE. UU. (NSA) y la Agencia de Seguridad de Infraestructura de Ciberseguridad (CISA), es una buena referencia.

Otras guías y libros de seguridad útiles para Kubernetes incluyen Internet Security Center (CIS) Kubernetes Benchmarks, la Guía de implementación de tecnología de seguridad de Kubernetes del Departamento de Defensa de EE. UU. (STIG) y Liz Rice de Aqua Security. Existe Kubernetes Security de Michael Hausenblas.

La Guía de refuerzo de la seguridad de Kubernetes categoriza tres fuentes comunes de riesgos de seguridad de Kubernetes: riesgos de la cadena de suministro, actores de amenazas maliciosas y amenazas internas. También proporciona detalles en áreas críticas como el modelado de amenazas, la seguridad del pod de Kubernetes, el aislamiento y el refuerzo de la red, la autenticación y autorización, la auditoría de registros, las actualizaciones y las mejores prácticas de seguridad de las aplicaciones.

La introducción a la guía describe los componentes arquitectónicos centrales de Kubernetes. En el centro está el clúster y contiene los componentes centrales del clúster, como el plano de control, los nodos y los pods ubicados en los nodos. Comprender estos componentes básicos es esencial para comprender cómo funciona Kubernetes, cómo interactúan sus componentes y, en última instancia, cómo protegerlos.

Los componentes básicos de Kubernetes © NSA / CISA

Plano de control

Uno de los aspectos importantes de un clúster de Kubernetes es el plano de control. El plano de control toma decisiones globales sobre el clúster y, si se ve comprometido por malicia o negligencia, puede tener graves consecuencias. La investigación de NSA / CISA encontró 2,284 servidores etcd a los que los actores malintencionados podían acceder a través de Internet.

El plano de control consta de la gestión del controlador, el administrador del controlador en la nube, el servidor API de Kubernetes, etc., y el programador. Cada uno opera en un puerto único dentro del clúster y realiza una función específica. Su capacidad para controlar directamente estos componentes puede ser limitada, especialmente si está utilizando servicios de Kubernetes administrados por un proveedor de servicios en la nube, como Elastic Kubernetes Service (EKS) de AWS. Si bien esto puede parecer un inconveniente, administrar el plano de control de Kubernetes es una tarea compleja. Dependiendo del nivel de habilidad de su fuerza laboral, puede ser la forma más segura de concentrarse en su aplicación mientras usa Managed Kubernetes. Kubernetes administrado como EKS maneja el plano de control y las actividades relacionadas con la infraestructura subyacente, como actualizaciones, correcciones de errores y parches de seguridad.

Arquitectura de Kubernetes © NSA / CISA

Seguridad de la vaina

Un pod de Kubernetes es la unidad de implementación más pequeña del ecosistema de Kubernetes. Es donde residen las aplicaciones en contenedores de una organización y también es un punto de entrada importante para los actores malintencionados. Por esta razón, es muy importante seguir las mejores prácticas. Las mejores prácticas incluyen evitar que los contenedores se ejecuten como root, usar contenedores inmutables con directorios grabables, implementar imágenes de contenedores seguras que estén libres de vulnerabilidades conocidas, configuraciones incorrectas y problemas de control de acceso, y proteger los tokens de cuentas de servicio de pod. . También puede aprovechar nuestra nueva guía sobre las mejores prácticas de endurecimiento de contenedores.

Separación y endurecimiento de la red

Los esfuerzos de seguridad no deben terminar en las cápsulas. La conexión en red dentro del clúster también es un factor importante para prevenir la actividad maliciosa y mitigar su impacto a través del aislamiento si se produce dicha actividad. Más allá de asegurar el plano de control, las recomendaciones importantes incluyen el uso de políticas de red y firewalls para aislar y aislar recursos, cifrar el tráfico en tránsito y proteger los datos confidenciales en reposo (como la información confidencial).


Source: ITWorld Korea by www.itworld.co.kr.

*The article has been translated based on the content of ITWorld Korea by www.itworld.co.kr. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!

*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.

*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!