¿Qué es la seguridad de contenedores de Azure?

La seguridad de contenedores de Azure es la combinación de la realización de análisis de vulnerabilidades en todo el ciclo de vida del contenedor, utilizando únicamente imágenes de confianza procedentes de registros privados, limitando privilegios y acceso a usuarios, y analizando y supervisando continuamente toda la actividad.

Seguridad de contenedores de Azure

Microsoft Azure es la segunda aplicación con base en la nube más grande y de mayor crecimiento que hay actualmente en el mercado. La utilizan el 95 % de las empresas de Fortune 500, Microsoft Azure es la plataforma de informática de la nube que proporciona a los desarrolladores la libertad de crear, gestionar e implementar aplicaciones en cualquier sitio. Ofrece una enorme variedad de servicios, incluidas máquinas virtuales, internet de las cosas y contenedores.

Los contenedores de Microsoft Azure ofrecen a los desarrolladores y organizaciones por igual la agilidad y la escalabilidad que buscan para un servicio en la nube, junto con dos de las infraestructuras ocupadas que son necesarias. Sin embargo, a pesar de que es sumamente beneficioso desarrollar contenedores en Azure, no proporcionan una seguridad nativa integrada. Corre por cuenta del cliente garantizar la seguridad de sus contenedores de Azure.

Aspectos a considerar

A continuación, encontrará algunos factores a considerar cuando proteja sus contenedores de Azure:

  • Imágenes
  • Credenciales
  • Registro
  • Kernel

Imágenes

Al igual que ocurre con todo contenedor, la protección de las imágenes en los contenedores de Azure es una de las medidas de seguridad más importantes que puede adoptar. Los contenedores se crean a partir de imágenes almacenadas en repositorios. Cada imagen contiene múltiples capas de software que, de forma independiente, pueden contener vulnerabilidades y posiblemente estar comprometidas. Al permitir solo las imágenes de contenedor aprobadas en su entorno de desarrollo, reduce enormemente la superficie de ataque de los cibercriminales. Es importante contar con herramientas y procesos explícitos que supervisen y eviten el uso de imágenes de contenedor no aprobadas.

Otra opción para el control del flujo de contenedores en el entorno es la firma o la huella digital de la imagen. Esto puede proporcionar una cadena de custodia que le permita verificar la integridad de los contenedores y las imágenes de los mismos. Antes de enviar cualquier imagen al registro, es fundamental realizar un análisis de vulnerabilidad en los contenedores como una comprobación final tras la finalización del desarrollo del contenedor.

Credenciales

Un menor privilegio constituye una práctica básica de seguridad recomendada que también se debería aplicar a los contenedores de Azure. Cuando se procede al exploit de una vulnerabilidad, ya sea mediante imágenes o kernels, le proporciona acceso al atacante y, posiblemente, incluso privilegios a numerosos clústeres y regiones. Garantizando que los contenedores funcionan con los menores privilegios y accesos requeridos para realizar el trabajo reduce su exposición al riesgo.

Al eliminar todos los privilegios innecesarios, en caso de que se transfiera de posición a un empleado o este abandone la compañía, reduce la superficie de ataque del contenedor. También puede reducir la superficie del posible ataque eliminando todos los procesos o privilegios no utilizados o innecesarios procedentes del tiempo de ejecución del contenedor.

Registro

Los contenedores de Azure se crean a partir de imágenes que se almacenan en registros públicos o privados. Si bien recuperar imágenes procedentes de registros públicos puede parecer más sencillo, no garantiza la seguridad. Tal y como se menciona anteriormente, las imágenes de contenedor tienen múltiples capas de software, y cada capa puede presentar vulnerabilidades.

Las imágenes en un registro público tienen mayor probabilidad de tener software malicioso adjuntado en comparación a las imágenes procedentes de registros privados. Las imágenes en registros privados tienen mayor probabilidad de ser analizadas adecuadamente y de suponer menor riesgo. Los registros privados se gestionan e incluyen controles de acceso con base en roles, proporcionando mayor gobernanza y seguridad. Algunos ejemplos de registros de imagen de contenedor privado incluyen Azure Container Registry, Docker Trusted Registry o el proyecto Harbor de open source de la Cloud Native Computing Foundation.

Kernel

Todos los ordenadores se diseñan sobre fragmentos de hardware. El kernel, un fragmento de software incrustado en el sistema operativo, sirve como puente para que el hardware y el resto del sistema puedan interactuar. A diferencia de las máquinas virtuales, los contenedores tienen tráfico de red abierto en sus servicios, así como un kernel compartido. La capacidad de compartir el kernel del sistema operativo del host es uno de los principales beneficios del contenedor. Sin embargo, también es una gran fuente de incidentes de seguridad.

No hay mucho aislamiento entre el kernel y los contenedores durante el tiempo de ejecución, lo que significa que una vulnerabilidad localizada en un kernel de sistema operativo compartido se puede utilizar para realizar exploits en contenedores u obtener acceso a ellos. Los atacantes pueden manipular los comportamientos de ejecución del SO sin inyectar ningún código malicioso simplemente modificando los datos del kernel en la memoria.

Protección de contenedores de Azure

Gracias a su portabilidad, escalabilidad y fiabilidad, no cabe duda el por qué la mayoría de las empresas utilizan los contenedores de Microsoft Azure para ejecutar sus aplicaciones. Garantizando que se completan análisis de vulnerabilidad en todos los ciclos de vida del contenedor y que se registra y supervisa toda actividad, puede tener la tranquilidad de que sus contenedores de Azure están protegidos.

Investigaciones relacionadas

Artículos relacionados