Seguridad en contenedores

Protege tu entorno de contenedores en Google Cloud Platform (GCP).

Información general

Gracias a los contenedores, los equipos de desarrollo pueden actuar con rapidez, desplegar software de forma eficaz y trabajar a una escala sin precedentes. Las empresas crean cada vez más cargas de trabajo en contenedores, por lo que es imprescindible integrar un sistema de seguridad en cada etapa del ciclo de vida de desarrollo y despliegue. Descubre cómo puedes proteger tu entorno de contenedores en GCP en tres áreas cruciales.

Seguridad de la infraestructura

Contar con una infraestructura segura significa que tu plataforma de administración de contenedores ofrece las funciones de seguridad adecuadas. Kubernetes encaja en esta definición, ya que incluye funciones pensadas para proteger tus identidades, tus secretos y tu red. Además, Kubernetes Engine utiliza funcionalidades nativas de GCP (como Cloud IAM, el almacenamiento de registros de auditoría de Cloud y las nubes privadas virtuales) para integrar las mejores prestaciones de la seguridad de Google en tus cargas de trabajo.

Cadena de suministro de software

Proteger la cadena de suministro de software implica que las imágenes de contenedor se puedan desplegar de forma segura. De este modo, puedes tener la certeza de que dichas imágenes están libres de vulnerabilidades y de que las que creas no se modifican antes de desplegarse.

Seguridad del tiempo de ejecución

Si cuentas con un sistema de seguridad del tiempo de ejecución, puedes identificar los contenedores que muestren un comportamiento malintencionado en la fase de producción y actuar en consecuencia para proteger tu carga de trabajo.

Si ejecutas contenedores, puedes adoptar un modelo de seguridad totalmente diferente

Inmutabilidad y administración de parches más sencillas

Inmutabilidad y administración de parches más sencilla

Los contenedores están especialmente diseñados para ser inmutables, de modo que si quieres realizar algún cambio, tienes que desplegar una imagen nueva. Si quieres simplificar el proceso de administración de parches, solo tienes que volver a crear tus imágenes de forma regular para que el parche se aplique la próxima vez que se despliegue un contenedor. Si quieres estar al tanto de todos los aspectos relacionados con tu entorno, revisa periódicamente la seguridad de tus imágenes.

Menor exposición a los ataques

Menor exposición a los ataques

Los contenedores están pensados para ejecutarse en un sistema operativo del host mucho más pequeño que el que utilizan las máquinas virtuales, ya que se introduce mucho más contenido directamente en la aplicación. Gracias a este sistema tan reducido, tu carga de trabajo está menos expuesta a posibles ataques.

Aislamiento de recursos y de cargas de trabajo

Aislamiento de recursos y de cargas de trabajo

Los contenedores te permiten aislar recursos de forma sencilla (como los volúmenes de almacenamiento) en procesos concretos mediante los cgroups y los espacios de nombres. A través de tecnologías como gVisor, puedes aislar cargas de trabajo de forma lógica en una zona de pruebas de máquina virtual secundaria y, de este modo, separarlas de otras aplicaciones.

Seguridad de la infraestructura

El sistema de seguridad de la infraestructura de contenedores se ocupa de que tus desarrolladores cuenten con las herramientas necesarias para crear servicios en contenedores de forma segura. Por lo general, estas funcionalidades están integradas en el orquestador de contenedores, como es el caso de Kubernetes. Si utilizas Kubernetes Engine, esta funcionalidad se utiliza de forma nativa junto con otras funciones de Google Cloud.

Identidad y autorización

En Kubernetes Engine puedes administrar los accesos a tus proyectos con Cloud IAM y, mediante el control de acceso basado en funciones (RBAC), administrar el acceso a tus clústeres y espacios de nombres.

Almacenamiento de registros de auditoría

En Kubernetes los registros de auditoría de API se capturan de forma automática. En Kubernetes Engine este mismo proceso se realiza automáticamente mediante el registro de auditoría de Cloud.

Redes

En Kubernetes Engine puedes crear una política de red para administrar las comunicaciones entre pods dentro de tu clúster. Utiliza los clústeres privados para IP privadas e incluye recursos de Kubernetes Engine en una VPC compartida.

Cumplimiento

Kubernetes Engine cuenta con una amplia gama de certificaciones de cumplimiento, como ISO 27001, ISO 27017, ISO 27108, HIPAA y PCI‑DSS.

Sistema operativo de host reducido

Kubernetes Engine utiliza Container‑Optimized OS (COS) de forma predeterminada. Se trata de un sistema operativo de código abierto administrado por Google diseñado específicamente para este ámbito y optimizado para los contenedores que se estén ejecutando.

Componentes actualizados

En Kubernetes Engine se aplican automáticamente parches de la última versión de Kubernetes a las instancias maestras, y dispones de una función de actualización automática de nodos.

Cadena de suministro de software

La función de la cadena de suministro de software es indicarte exactamente qué despliegues se llevan a cabo en tu entorno. Tienes el control de todas las fases de tus aplicaciones, desde el código hasta el despliegue, pasando por la imagen. Estas funcionalidades suelen estar integradas en tu flujo de procesamiento de CI/CD, en tu registro de contenedores (por ejemplo, Google Container Registry) y en forma de comprobación de la admisión antes de que despliegues los contenedores en la fase de producción.

Protección de imágenes base

Google Container Registry cuenta con una imagen base de Debian y otra de Ubuntu, ambas administradas por Google, a las que se aplican parches y que se someten a pruebas de forma periódica.

Análisis de vulnerabilidades

Google Container Registry te permite realizar en tus imágenes y paquetes un análisis de las vulnerabilidades conocidas que están registradas en la base de datos de Common Vulnerabilities and Exposures.

Políticas de despliegue

En Kubernetes Engine puedes utilizar la autorización binaria para limitar los despliegues en tu entorno según las atestaciones de una imagen.

Lanzamiento periódico de versiones

Los contenedores se pueden volver a crear y desplegar con regularidad para que puedas sacar partido de los últimos parches que se aplican de forma gradual en tu entorno.

Seguridad del tiempo de ejecución

El objetivo del sistema de seguridad del tiempo de ejecución de los contenedores es garantizar que tu equipo de respuesta cuenta con las herramientas necesarias para detectar y actuar ante las amenazas que afectan a la seguridad de los contenedores que se ejecutan en tu entorno. Por lo general, estas funciones vienen integradas en tu conjunto de herramientas de operaciones de seguridad.

Supervisión

Kubernetes Engine tiene integrado Stackdriver para facilitar el análisis de registros. También puedes crear actividades relacionadas con la seguridad en Cloud Security Command Center (Cloud SCC).

Detección de actividades anómalas

Aprovecha los servicios de nuestros partners (entre los que se incluyen Aqua Security, Capsule8, StackRox, Sysdig Secure y Twistlock) para monitorizar los posibles ataques y consultar los resultados en Cloud SCC.

Aislamiento

Evita que un contenedor malintencionado afecte a los demás: gracias a gVisor, una zona de pruebas de tiempo de ejecución de contenedores, puedes contar con un sistema más robusto de aislamiento de seguridad en contenedores.

Recursos

Consulta los recursos que presentamos a continuación para obtener información más detallada sobre la seguridad en contenedores.

Información general sobre la seguridad en Kubernetes Engine

Guía de refuerzo de Kubernetes Engine

Serie del blog sobre seguridad en contenedores

NIST SP 800‑190: Guía sobre la seguridad en contenedores de aplicaciones

Conferencia de KubeCon 2017: Navegar en aguas infestadas de piratas

Google Cloud

Primeros pasos

Aprendizaje y desarrollo

¿Acabas de aterrizar en GCP? Empieza a usar cualquiera de los productos de la plataforma con un crédito gratuito de 300 USD.

¿Necesitas más ayuda?

Nuestros expertos te ayudarán a encontrar la solución o el partner que se ajusten mejor a tus necesidades.