2. ¿Cómo protegemos los entornos de Kubernetes?
3. ¿Por qué utilizar políticas de confianza cero para detener la propagación de malware?
4. ¿La importancia de tener una cadena de suministro de software segura?
5. ¿Por qué debemos automatizar la seguridad en los entornos de Kubernetes?
6. ¿Cómo podemos escalar estas medidas cuando tenemos varios clústeres?
Introducción
En la tercera parte de esta serie dedicada al ransomware, se explorara cómo podemos proteger los entornos de Kubernetes.
¿Cómo protegemos los entornos de Kubernetes de los ataques de ransomware?
A medida que crece la adopción de contenedores, el software en contenedores es cada vez más el objetivo de los ataques de ransomware, y la naturaleza dinámica del entorno de Kubernetes presenta desafíos únicos. La propagación del ransomware puede ser rápida, infectando potencialmente el registro de imágenes u otras partes de la cadena de suministro de software y poniendo en peligro todos los pods en los clústeres de Kuberentes. Los atacantes también pueden tomar el control de los clústeres de Kubernetes, lo que dificulta detener el ataque una vez que ha comenzado.
Como se mencionó en la primera publicación de esta serie, la prevención es esencial para proteger los entornos de Kubernetes de los ataques, que pueden ocurrir a través de vulnerabilidades de aplicaciones en el software en ejecución, credenciales robadas para el clúster de Kubernetes, malware plantado en la cadena de suministro de software, etc.
Algunos de estos posibles vectores de ataque solo pueden abordarse mediante el uso de software de seguridad específico y procesos predefinidos.
Para evitar que los ataques provengan de una vulnerabilidad de la aplicación, existen algunas estrategias que podemos utilizar:
Mantenga el software actualizado con las últimas correcciones de errores, si queremos asegurarnos de que no se implemente ningún software vulnerable en los clústeres, podemos implementar reglas de control de admisión con SUSE Neuvector , que amplía las capacidades de Kubernetes al permitirle definir reglas que, por ejemplo , puede evitar que una imagen con vulnerabilidades o de un registro que no sea de confianza se implemente en su clúster.
Bloquee proactivamente los ataques conocidos a nivel de red antes de que lleguen a la aplicación. SUSE NueVector es especialmente adecuado para esta tarea, ya que no solo analiza los protocolos de capa 3 y 4 de la red, en los que se centran otras soluciones de seguridad, sino también la capa 7 de red. que contienen protocolos de aplicación.
Esto significa que puede identificar los ataques llevados a cabo en la capa de la aplicación, gracias a su tecnología de inspección profunda de paquetes (DPI), y puede bloquear estos paquetes de red maliciosos antes de que lleguen a la aplicación.
Limite los privilegios de la aplicación. Podemos prevenir aún más los ataques de ransomware mediante el uso de mecanismos de seguridad de Kubernetes , como Seccomp , AppArmor y SELinux. Como se discutió anteriormente en esta serie, SELinux y AppArmor pueden ser efectivos para evitar que las aplicaciones accedan a ciertos archivos o ejecuten ciertos procesos. Estos están disponibles solo en los nodos de Kubernetes que se ejecutan sobre las distribuciones de Linux que tienen estas funciones habilitadas, como SLES y SLEmicro .
Estas poderosas herramientas merecen un artículo dedicado por derecho propio.
¿ Por qué utilizar políticas de confianza cero para detener la propagación de malware?
Todas estas medidas pueden quedarse cortas, especialmente si los atacantes usan un día cero para obtener acceso.
Para protegernos de los días cero, debemos implementar políticas de confianza cero basadas en el comportamiento que puedan observar y bloquear cualquier intento de desviarse del comportamiento esperado que muestran las aplicaciones a nivel de red o sistema. Esto significa que incluso si el atacante obtiene el control de la aplicación, no puede usarla para llegar a otras aplicaciones en el clúster. Por lo general, la mayoría de las aplicaciones de back-end no están expuestas al mundo exterior y tienen protecciones de seguridad más débiles, algunas también tienen mayores privilegios del sistema y el acceso a la red o a los datos, por lo que controlarlas le otorgaría al atacante aún más oportunidades de propagarse.
En este escenario, podemos usar las políticas de seguridad Zero-Trust de SUSE NeuVector porque estamos observando el comportamiento de la aplicación y no solo los ataques conocidos. Esto requiere que definamos una política de seguridad que puede parecer una tarea complicada pero, gracias a las capacidades de aprendizaje de comportamiento de NeuVector , podemos crearlas fácilmente para cada aplicación en ejecución. En este artículo , muestro cómo podemos usar las capacidades de aprendizaje de comportamiento de NeuVector para crear Zero- Confiar en las políticas de seguridad.
No solo podemos usar SUSE NeuVector para implementar políticas de confianza cero a nivel de sistema y red , sino también para visualizar y detectar actividades sospechosas dentro del entorno de Kubernetes al observar las conexiones que cada pod establece utilizando su tecnología DPI.
¿La importancia de tener una cadena de suministro de software segura en un entorno nativo de la nube?
La cadena de suministro de software es un componente crítico de los entornos nativos de la nube. Es el proceso integral que garantiza que todas las aplicaciones y los componentes utilizados en un entorno nativo de la nube sean seguros, desde el hardware y el sistema operativo donde se ejecuta Kubernetes hasta la biblioteca más pequeña utilizada en la aplicación final.
Para que sea seguro, debemos verificar la autenticidad del software, por ejemplo, con las firmas de un tercero regulado, parcheando regularmente cualquier vulnerabilidad, utilizando métodos de entrega seguros y controlando quién puede modificar el código y cuándo, asegurándonos de que cada cambio esté sujeto a revisión por pares. .
Aquí es donde las certificaciones como SLSA4 y Common Criteria EAL4+ muestran su valor, asegurando que los procesos de SUSE para desarrollar y mantener sus productos hayan superado la rigurosa evaluación de seguridad requerida para obtener estas certificaciones.
Desafortunadamente, no siempre podemos trabajar con software certificado, en cuyo caso debemos recurrir al uso de plataformas de seguridad como SUSE NeuVector , o administradores de clústeres de Kubernetes como Rancher , para escanear las imágenes en los registros en busca de vulnerabilidades, validar el cumplimiento de las normas de seguridad, ejecutar puntos de referencia de seguridad en la infraestructura, etc. Es vital que estos controles puedan ser repetibles y automatizados para que no sean únicos.
¿Por qué debemos automatizar la seguridad en los entornos de Kubernetes?
La automatización de la seguridad en los entornos de Kubernetes es esencial para garantizar que el entorno sea seguro, compatible y actualizado, reduciendo la superficie de ataque al aplicar parches y configurar los recursos de software en la cadena de suministro de forma segura.
Dado que la seguridad en un entorno nativo de la nube no es estática, todos los días aparecen nuevas vulnerabilidades y parches, y los delincuentes automatizan sus ataques para encontrar y atacar rápidamente a las víctimas, debemos combinar sus métodos.
La automatización también brinda otros beneficios, como ayudar a eliminar los errores manuales y garantizar que las políticas de seguridad se apliquen de manera consistente en todo el entorno.
También puede reducir drásticamente el tiempo que lleva restaurar un sistema que ha sido atacado a su estado original. Sin embargo, es importante tener en cuenta que el sistema debe parchearse antes de restaurarlo; y para eso también necesitamos simplificar y automatizar el proceso de actualización.
Para que esto sea posible y más fácil de implementar, las plataformas de seguridad como SUSE NeuVector y las herramientas de administración de Kubernetes como Rancher están diseñadas teniendo en cuenta la automatización. Con Rancher, podemos implementar y actualizar automáticamente las cargas de trabajo en los clústeres mediante Fleet o su propio sistema CI/CD externo , lo que facilita la adopción de Infraestructura como código.
Con SUSE NeuVector API y usando CRD, podemos cargar políticas de seguridad de la misma manera que lo hacemos con otros recursos en Kubernetes, lo que facilita mucho la implementación de Security-as-Code usando una plataforma de CI/CD existente.
¿Cómo podemos escalar estas medidas cuando tenemos varios clústeres?
Necesitamos un software que ocupe poco espacio y sea capaz de funcionar de manera confiable, el alto consumo de recursos afectará el rendimiento de la aplicación, lo que imposibilitará satisfacer la creciente demanda, este es uno de los aspectos clave del software listo para producción.
Podemos hacer uso de las capacidades de seguridad de Rancher que mencioné anteriormente para garantizar que todos los clústeres de Kubernetes estén configurados y protegidos correctamente. Rancher puede ayudar con el control de acceso, la aplicación de políticas de seguridad y el análisis de vulnerabilidades.
Con SUSE NeuVector también podemos administrar la postura de seguridad en implementaciones de múltiples clústeres y múltiples nubes mediante la inserción de reglas federadas en cada clúster y la sincronización de los resultados de los análisis del registro en varios clústeres.
Este enfoque nos permitirá escalar nuestras medidas de seguridad, incluso cuando tengamos varios clústeres, y la arquitectura NeuVector, que funciona completamente sin tarjetas adicionales o similares, facilita escalar la protección junto con las cargas de trabajo de la aplicación.
Resumen
Hemos visto que tener una cadena de suministro de software segura e implementar políticas de seguridad Zero-Trust basadas en el comportamiento a nivel de sistema y red puede ayudar a proteger contra ataques maliciosos, como ransomware y amenazas Zero Day utilizadas por delincuentes. Los productos de SUSE están diseñados para priorizar la seguridad y trabajar a escala. Nuestro equipo innova constantemente en el área de la seguridad para garantizar que su empresa se mantenga estable y resistente.
Si desea obtener más información sobre Zero-Trust, puede descargar nuestro libro electrónico gratuito Zero Trust Container Security for Dummies , o no dude en solicitar una demostración de NeuVector .
Para más información sobre nuestros productos y servicios, por favor contáctenos .
Para otros artículos de esta serie, visite:
Ataques de Ransomware – Parte 1, Introducción
Ataques de ransomware: parte 2, seguridad de TI tradicional
Cómo proteger sus aplicaciones SAP de los ataques de Ransomware