La seguridad de contenedores de AWS es una responsabilidad compartida entre AWS y el cliente. La responsabilidad del cliente requiere un enfoque integral de controles de admisión, gestión de vulnerabilidad y protección en el tiempo de ejecución.
Amazon Web Services (AWS) es un proveedor de servicios de nube que ofrece almacenamiento, capacidad informática, entrega de contenido y otras funcionalidades a organizaciones de todo tipo y tamaño. Amazon Web Services está concebido para una implementación y diseño de aplicación rápidos, junto con la escalabilidad y fiabilidad por la que se conoce a Amazon. Sus productos abarcan desde análisis y almacenamiento hasta cadena de bloques y contenedores.
Los contenedores en AWS son sumamente conocidos, debido a que proporcionan una forma simple de empaquetar, enviar y ejecutar aplicaciones. La seguridad es fundamental para el éxito de una estrategia de contenedor en AWS.
AWS es responsable de la seguridad de la nube, incluida la infraestructura del contenedor. Sin embargo, cada organización corre a cargo de la seguridad en la nube para la implementación de la protección adecuada de los contenidos de contenedores individuales, datos y configuración de servicio en general. El modelo de responsabilidad compartida de Amazon describe claramente dónde finalizan sus responsabilidades y dónde comienzan las de la compañía, mencionando los servicios adicionales que es posible que se necesiten para garantizar el cumplimiento de normativa y la seguridad.
A continuación, encontrará algunos factores a considerar cuando proteja sus contenedores en AWS:
La protección del sistema operativo (SO) del host del contenedor es fundamental para asegurar sus contenedores en AWS. Debido a que múltiples contenedores a menudo comparten el mismo host, una filtración en el host puede proporcionar acceso a todos los contenedores en ese host o incluso en su entorno.
Cuando seleccione su host, debe aplicar controles de acceso a cada uno y debería añadir también sus herramientas de supervisión continua y seguridad. Esto garantiza que sus host se ejecutarán tal y como espera y que no se han introducido vulnerabilidades posteriores a la implementación.
Resulta fundamental escanear y analizar imágenes de forma regular, permitiendo únicamente las imágenes aprobadas durante la fase de desarrollo y que solo las imágenes que cumplen la normativa se ejecuten en la producción. Las imágenes deficientemente configuradas están entre las vías más fáciles para los atacantes de obtener acceso a la red. AWS recomienda a los clientes aprovechar las soluciones de partners para proporcionar análisis de imágenes de contenedor.
También hay disponible un software que puede verificar la integridad, autenticidad y fecha de publicación de todas las imágenes disponibles en determinados registros.
A pesar de que pueda parecer práctico otorgar derechos de administrador a los desarrolladores para la rápida ejecución de una tarea, esta es una de las formas más rápidas de comprometer su contenedor y, posiblemente, incluso todo el entorno de AWS. Mediante el control del acceso a los servicios y la limitación del nivel de los permisos concedidos para cada trabajo, puede reducir enormemente la probabilidad de un ataque malicioso desde el interior.
Es importante tener presente la modificación de los privilegios y accesos individuales a medida que cambian los roles de los empleados dentro de la empresa o que se eliminen por completo.
Los secretos son contraseñas, certificados, claves API o cualquier otra cosa a la que desee controlar fervientemente su acceso. Estos están diseñados para desarrolladores y equipos de operaciones de TI para que puedan desarrollar mejor y ejecutar de forma más segura las aplicaciones que mantienen información privada confidencial y solo son accesibles cuando el contenedor exacto lo necesita para poder funcionar.
Los secretos se pueden almacenar de forma segura en AWS Secrets Manager o una política de Identity and Access Management (IAM) para garantizar que solo los usuarios autorizados tienen acceso. También los pueden administrar proveedores de administración de secretos externos.
En definitiva, la responsabilidad del cliente sobre la seguridad de contenedores de AWS solo es tan sólida como los pasos que se toman para reforzarla. Mediante la implementación intencionada de las prácticas de seguridad recomendadas en cada fase del ciclo de vida del contenedor, las empresas pueden estar seguras de que todos los datos sensibles de la aplicación y los datos confidenciales en la nube están protegidos.
Investigaciones relacionadas
Artículos relacionados