La Seguridad de Containers de AWS es una responsabilidad compartida entre AWS y el cliente La responsabilidad del cliente requiere de un enfoque integral de controles de admisión, administración de vulnerabilidades y protección en runtime.
Seguridad de Containers AWS
Amazon Web Services (AWS) es un proveedor de servicios de la nube que ofrece almacenamiento, poder de cómputo, entrega continua y otras funcionalidades a organizaciones de todos los tamaños y formas. Amazon Web Services está diseñado para el diseño y despliegue rápido de aplicaciones, junto con la escalabilidad y confianza por las que es conocido Amazon. Sus productos van desde analytics y almacenamiento hasta blockchain y containers.
Los containers en AWS son extremadamente populares debido al hecho de que ofrecen una forma sencilla de empaquetar, entregar y correr aplicaciones. La seguridad es esencial para el éxito de una estrategia de containers en AWS.
La responsabilidad de AWS vs. la responsabilidad del cliente
AWS es responsable por la seguridad de la nube, incluyendo la infraestructura de los containers. Para la seguridad en la nube, depende de cada organización configurar las protecciones adecuadas para los contenidos de sus containers individuales, datos y configuración general de sus servicios. El Modelo de Responsabilidad Compartida de Amazon delimita claramente dónde terminan sus responsabilidades y dónde inician las de la empresa, describiendo los servicios adicionales que podrían necesitarse para asegurar el cumplimiento y la seguridad.
Cosas para considerar
Estos son algunos factores para considerar al momento de proteger sus containers de AWS:
Proteja su host
Proteger al sistema operativo (OS) del host de sus containers es vital para proteger a sus containers en AWS. Porque múltiples containers a menudo comparten el mismo host, una brecha en el host podría potencialmente dar acceso a todos los containers en ese host o incluso dentro de su ambiente.
Cuando elige su host, debe aplicar controles de acceso a cada host y también debe de agregar herramientas de seguridad y monitoreo continuo. Esto asegura que sus hosts correrán como espera y que no se han introducido vulnerabilidades post-despliegue.
Escanee consistentemente las imágenes del contenedor
Es crucial escanear y analizar las imágenes rutinariamente, permitiendo que solamente las imágenes aprobadas se encuentren en la fase de desarrollo y corran en la producción. Las imágenes mal configuradas son una de las formas más sencillas en que los atacantes pueden entrar a una red. AWS alienta a sus clientes a potenciar las soluciones de sus partners para obtener escaneo de imágenes de container.
También hay software disponible que puede verificar la integridad, autenticidad y fecha de publicación de todas las imágenes disponibles en registros selectos.
Limite accesos y privilegios
Puede parecer conveniente darle derechos de administración a los desarrolladores para ejecutar rápidamente las tareas. Esta es una de las formas más rápidas de comprometer sus containers y potencialmente el ambiente completo de AWS. Al controlar el acceso a los servicios y limitando el nivel de permisos otorgados para cada trabajo, puede reducir drásticamente la posibilidad de un ataque malicioso desde adentro.
Es importante recordar ajustar los privilegios y accesos individuales conforme los roles de los empleados cambian dentro de la empresa o son eliminados.
Guarde los secretos de forma segura
Los secretos son contraseñas, certificados, keys de APIs o cualquier cosa cuyo acceso quiera controlar de forma estricta. Estos son designados por los equipos de operaciones de TI y desarrollo para construir mejores aplicaciones y correrlas de forma segura, al mismo tiempo que mantienen información sensible privada y solamente el container exacto pueda acceder a ella cuando la necesite para operar.
Los secretos pueden almacenarse de forma segura a través de AWS Secrets Manager o una política IAM (Identity Access Management) para asegurar que solamente los usuarios aprobados tengan acceso. Estos también pueden administrarse por proveedores terceros de administración de secretos.
Protegiendo los containers de AWS
Al final, la responsabilidad del cliente por la seguridad de containers de AWS es tan fuerte como los pasos que se tomen para hacerla cumplir. Al infusionar intencionalmente mejores prácticas de seguridad en cada fase del ciclo de vida del container, las empresas pueden tener la seguridad de que todos los datos sensibles y confidenciales de sus aplicaciones en la nube están seguros.
Investigaciones Relacionadas
Artículos Relacionados