Seguridad de contenedores

Protege tu entorno de contenedores en GCP.

Descripción general

El uso de contenedores permite a nuestros equipos de desarrollo realizar transferencias rápidas, implementar software de manera eficaz y operar a una escala sin precedentes. A medida que las empresas crean más cargas de trabajo con contenedores, es fundamental integrar la seguridad en cada etapa del ciclo de vida de las implementaciones y compilaciones. Descubre cómo proteger tu entorno de contenedores en GCP en tres áreas esenciales.

Seguridad de la infraestructura

La seguridad de la infraestructura consiste en la capacidad de las plataformas de administración de contenedores de proporcionar las funciones de seguridad más adecuadas. Kubernetes incluye funciones de seguridad que te permitirán proteger las identidades, los secretos y las redes. Kubernetes Engine utiliza funciones nativas de GCP, como Cloud IAM, Cloud Audit Logging y nubes privadas virtuales, para proteger tus cargas de trabajo con las mejores opciones de seguridad de Google.

Cadena de suministro de software

Proteger la cadena de suministro de software implica contar con la seguridad para implementar las imágenes de los contenedores. También permite garantizar que estas no sean susceptibles a ninguna vulnerabilidad y que las imágenes que compiles no se modifiquen antes de implementarlas.

Seguridad en el entorno de ejecución

La seguridad en el entorno de ejecución permite identificar contenedores que tengan un comportamiento sospechoso en la fase de producción y tomar las medidas necesarias para proteger tus cargas de trabajo.

La ejecución de contenedores te permite adoptar un modelo de seguridad completamente nuevo

Opciones más simples de inmutabilidad y administración de parches

Opciones más simples de inmutabilidad y administración de parches

Los contenedores están diseñados para ser inmutables, por lo que, si quieres realizar cambios en uno, debes implementar una imagen nueva. Vuelve a compilar tus imágenes con regularidad y simplifica la administración de parches para que el sistema los tenga en cuenta la próxima vez que implemente un contenedor. Además, obtén un panorama completo de tu entorno con análisis frecuentes de la seguridad de las imágenes.

Menos posibilidades de sufrir ataques

Menos posibilidades de sufrir ataques

Los contenedores están diseñados para ejecutarse en SO del host mucho más pequeños que los de las VM, debido a que se empaqueta más contenido directamente en las aplicaciones. Este SO reducido disminuye las posibilidades de que tus cargas de trabajo sufran ataques.

Aislamiento de los recursos y las cargas de trabajo

Aislamiento de los recursos y las cargas de trabajo

Los contenedores brindan una forma sencilla de aislar recursos, como los volúmenes de almacenamiento, a fin de usarlos en procesos específicos con cgroups y espacios de nombres. Con tecnologías como gVisor, puedes aislar las cargas de trabajo en una zona de pruebas de VM secundaria separada de las demás aplicaciones.

Seguridad de la infraestructura

La seguridad de la infraestructura de contenedores consiste en garantizar que tus desarrolladores cuenten con las herramientas necesarias para compilar servicios con contenedores de forma segura. Por lo general, estas funcionalidades están incorporadas en los organizadores de servicios como Kubernetes. Si usas Kubernetes Engine, están disponibles de forma nativa junto con otras funciones de Google Cloud.

Identidad y autorización

En Kubernetes Engine, debes usar Cloud IAM para administrar el acceso a tus proyectos y el control de acceso basado en funciones (RBAC) a fin de gestionar quiénes acceden a los clústeres y espacios de nombres.

Registros de auditoría

En Kubernetes, los registros de auditoría de la API se capturan automáticamente. En Kubernetes Engine, Cloud Audit Logging se encarga automáticamente de los registros de auditoría de API.

Redes

Crea una política de redes en Kubernetes Engine para administrar la comunicación entre los pods de tu clúster. Usa clústeres privados para las IP privadas y, además, incluye los recursos de Kubernetes Engine en una VPC compartida.

Cumplimiento

Kubernetes Engine cuenta con muchas certificaciones de cumplimiento, como ISO 27001, ISO 27017, ISO 27108, HIPAA y PCI-DSS.

Tamaño mínimo del SO del host

En la configuración predeterminada, Kubernetes Engine usa Container-Optimized OS (COS), un SO diseñado y optimizado para la ejecución de contenedores. Google mantiene COS con código abierto.

Componentes actualizados

En Kubernetes Engine, las instancias principales se actualizan con los parches de la versión más reciente de Kubernetes, y puedes usar la actualización automática en tus nodos.

Cadena de suministro de software

La cadena de suministro de software consiste en saber con exactitud qué se implementa en tu entorno, es decir, controlar desde el código hasta las imágenes y la implementación de las aplicaciones. Por lo general, estas funcionalidades están integradas en las canalizaciones de IC/EC, el registro de contenedores (como Google Container Registry) y como verificaciones de admisión que se realizan antes de la implementación de contenedores para producción.

Imágenes base seguras

Google Container Registry brinda imágenes base de Debian y Ubuntu, que Google mantiene a través de pruebas y parches frecuentes.

Análisis de vulnerabilidades

Google Container Registry ofrece análisis de vulnerabilidades a fin de descubrir debilidades conocidas de la base de datos de CVE en tus imágenes y paquetes.

Políticas de implementación

Usa la autorización binaria en Kubernetes Engine para limitar el contenido que implementas en tu entorno de acuerdo con las certificaciones de las imágenes.

Compilaciones frecuentes

Los contenedores se pueden volver a implementar con regularidad, lo que te permite usar en tu entorno los parches más recientes que lanzamos de forma gradual.

Seguridad en el entorno de ejecución

La seguridad en el entorno de ejecución de los contenedores consiste en garantizar que tus equipos pertinentes puedan detectar las amenazas de seguridad que afecten a los contenedores que se ejecutan en tu entorno y responder a ellas adecuadamente. Por lo general, estas funcionalidades están incorporadas en las herramientas de operaciones de seguridad.

Supervisión

Kubernetes Engine está integrado a Stackdriver, lo que facilita el análisis de los registros. También puedes escribir los eventos de seguridad en Cloud Security Command Center (Cloud SCC).

Detección de actividad anómala

Aprovecha las capacidades de supervisión de nuestros socios para evitar que se produzcan ataques y ver los resultados en Cloud SCC. Algunos de nuestros socios son Aqua Security, Capsule8, StackRox, Sysdig Secure y Twistlock.

Aislamiento

Evita que un contenedor malicioso afecte a los demás. Usa gVisor, una zona de pruebas de entorno de ejecución de contenedores, para aumentar el aislamiento de los contenedores de forma segura.

Recursos

Obtén más información sobre la seguridad de los contenedores.

Descripción general de la seguridad en Kubernetes Engine

Guía de protección de Kubernetes Engine

Serie de entradas de blog sobre la seguridad de los contenedores

NIST SP 800-190: Guía de seguridad para contenedores de aplicaciones

Charla en KubeCon 2017: Cómo navegar por un mar lleno de piratas

Google Cloud

Comenzar

Aprende y compila

¿Eres nuevo en GCP? Empieza a utilizar cualquier producto sin costo con un crédito de $300.

¿Necesitas más ayuda?

Nuestros expertos te ayudarán a crear la solución adecuada o a encontrar el socio más conveniente según tus necesidades.