La guía completa sobre seguridad de Kubernetes

La mayoría de los debates sobre la seguridad de Kubernetes® se centran en la dificultad de proteger un clúster. Es bastante difícil proteger cada capa de un sistema Kubernetes debido a que Kubernetes ofrece solo unas pocas opciones de seguridad nativas. Es cierto que Kubernetes tiene pocas soluciones de seguridad integradas y proteger Kubernetes implica abordar varios tipos de posibles vulnerabilidades en numerosos niveles de infraestructura.

Sin embargo, esto no implica que deba considerar la seguridad de Kubernetes como algo imposible de solucionar. En realidad, el hecho de que Kubernetes sea una plataforma tan grande con tantas interfaces crea una oportunidad: facilita el desarrollo de un conjunto de operaciones automatizadas y sistemáticas que incorporan seguridad en el proceso de creación e implementación de Kubernetes. El resultado es una política de seguridad estrechamente integrada que mitiga los ataques en todos los niveles y capas de su pila.

Este libro electrónico describe cómo desarrollar una estrategia de seguridad que mejore en lugar de obstaculizar sus otras operaciones basadas en Kubernetes. Identifica los desafíos de seguridad de Kubernetes desde el nodo en adelante y señala soluciones específicas para abordar cada uno de ellos, con un enfoque en enfoques automatizados y escalables que mantendrán seguras las cargas de trabajo basadas en Kubernetes, independientemente del tamaño del clúster o el tipo de infraestructura (local, nube pública, servicio administrado).

Kubernetes es una bestia multidimensional

En primer lugar, es fundamental reconocer que Kubernetes es una plataforma compleja compuesta por más de media docena de componentes. Contiene un servidor API para facilitar la comunicación entre los componentes del clúster, un programador para gestionar la distribución de las cargas de trabajo y controladores para gestionar el estado del propio Kubernetes. También consta de un agente que opera en cada nodo o servidor dentro de un clúster, así como un almacén de clave-valor que contiene datos de configuración del clúster.

Protecciones de seguridad nativas de Kubernetes

La seguridad de Kubernetes se complica aún más por el hecho de que, a pesar de tener ciertas medidas de seguridad integradas, no puede protegerse a sí mismo sin la ayuda de tecnologías adicionales. Kubernetes permite a los administradores crear reglas de control de acceso basado en roles (RBAC) para proteger los recursos del clúster contra el acceso no deseado. Además, pueden establecer reglas de seguridad de pods y políticas de red para prohibir formas específicas de uso indebido de pods y de la red.

Para aliviar la interrupción causada por un atacante que compromete una parte del clúster, se pueden aplicar límites de recursos. Con los límites de recursos establecidos, el atacante no podrá realizar un ataque de denegación de servicio privando al resto del clúster de los recursos adecuados para operar (siempre que, por supuesto, la infracción no se extienda más allá de la parte del clúster donde se originó).

Entornos de desarrollo integrados

Los entornos de desarrollo integrados (IDE) son herramientas que suelen utilizar los desarrolladores para crear el código fuente de las aplicaciones. Un IDE debería ser el punto de partida para el análisis de vulnerabilidades, ya que es la herramienta que inicia el proceso de implementación de la aplicación. La mayoría de los IDE pueden interactuar con una variedad de escáneres de vulnerabilidades de código fuente de terceros para identificar posibles vulnerabilidades de seguridad en el código de la aplicación.

Integración Integradora

Las tecnologías de integración continua (CI) alojan el código fuente y lo transforman en archivos binarios que se pueden implementar en Kubernetes. Representan una fase adicional de escaneo de vulnerabilidades para el código. Los servidores de CI son interoperables con una variedad de escáneres de vulnerabilidades, similares a los IDE.

Gestión de configuración

Actualmente, la mayoría de los procesos de creación e implementación de aplicaciones de Kubernetes dependen de la infraestructura como código (IaC) y de archivos YAML para la gestión automatizada de la configuración basada en políticas.

Descargue el documento técnico de Prisma Cloud para obtener más información sobre la Guía completa de seguridad de Kubernetes solo en Whitepapers Online.