Segurança de contêiner

Proteja seu ambiente de contêiner no GCP.

Visão geral

A conteinerização permite que as equipes de desenvolvimento sejam mais ágeis, implantem software de maneira eficiente e operem em uma escala sem precedentes. À medida que as empresas desenvolvem cada vez mais cargas de trabalho em contêineres, é preciso que a segurança seja integrada em cada cenário do ciclo de vida de criação e implantação. Saiba como proteger seu ambiente de contêineres no GCP em três áreas essenciais.

Segurança de infraestrutura

Ter segurança de infraestrutura significa que sua plataforma de gerenciamento de contêineres fornece os recursos de segurança adequados. O Kubernetes inclui recursos de segurança para proteger suas identidades, chaves secretas e rede, e o Kubernetes Engine usa as funcionalidades nativas do GCP, como o Cloud IAM, o Cloud Audit Logging e as nuvens privadas virtuais, para oferecer o melhor da segurança do Google às suas cargas de trabalho.

Cadeia de suprimentos de software

Proteger a cadeia de suprimentos de software significa ter imagens de contêiner seguras para serem implantadas. É assim que você garante que as imagens de contêiner não estejam vulneráveis e que as imagens criadas não sejam modificadas antes da implantação.

Segurança do tempo de execução

A segurança do tempo de execução permite que você identifique um contêiner que está agindo de maneira mal-intencionada na produção e tome medidas para proteger sua carga de trabalho.

A execução de contêineres permite que você adote um modelo de segurança completamente diferente

Gerenciamento de patches e imutabilidade simplificados

Gerenciamento de patches e imutabilidade simplificados

Os contêineres são imutáveis. Portanto, é preciso implantar uma nova imagem para fazer alterações. É possível simplificar o gerenciamento de patches recriando suas imagens regularmente, para que o patch seja incluído na próxima vez que um contêiner for implantado. Tenha a visão completa do seu ambiente com revisões de segurança de imagens regulares.

Menor superfície de ataque

Menor superfície de ataque

Os contêineres foram feitos para serem executados em um sistema operacional de host muito menor que em uma VM, já que há mais recursos empacotados diretamente no aplicativo. Esse sistema operacional mínimo reduz a possível superfície de ataque da sua carga de trabalho.

Isolamento de recursos e cargas de trabalho

Isolamento de recursos e cargas de trabalho

Os contêineres oferecem uma maneira fácil de isolar recursos, como volumes de armazenamento, a determinados processos usando cgroups e namespaces. Com tecnologias como o gVisor, é possível isolar logicamente as cargas de trabalho em um sandbox dentro da VM e separado de outros aplicativos.

Segurança de infraestrutura

Ter segurança de infraestrutura do contêiner significa garantir que seus desenvolvedores tenham as ferramentas necessárias para criar serviços em contêiner com segurança. Esses recursos geralmente são integrados ao orquestrador de contêineres, como o Kubernetes. Se você usar o Kubernetes Engine, essa funcionalidade é nativa, além de outros recursos do Google Cloud.

Identidade e autorização

No Kubernetes Engine, use o Cloud IAM para gerenciar o acesso aos seus projetos e o controle de acesso baseado em papéis (RBAC, na sigla em inglês) para gerenciar o acesso aos seus clusters e namespaces.

Como gerar registros de auditoria

No Kubernetes, os registros de auditoria da API são capturados automaticamente. No Kubernetes Engine, o Cloud Audit Logging grava os registros de auditoria da API automaticamente para você.

Rede

No Kubernetes Engine, você cria uma política de rede para gerenciar as comunicações entre pods no seu cluster. Use clusters privados para IPs privados e inclua os recursos do Kubernetes Engine em uma VPC compartilhada.

Conformidade

O Kubernetes Engine tem muitos certificados de conformidade, como ISO 27001, ISO 27017, ISO 27108, HIPAA e PCI-DSS.

Sistema operacional de host mínimo

O Kubernetes Engine usa o Container-Optimized OS (COS) por padrão, um sistema operacional criado e otimizado especificamente para executar contêineres. O COS é mantido pelo Google com código aberto.

Componentes atualizados

No Kubernetes Engine, os nodes mestre recebem patches automaticamente para a nova versão do Kubernetes, e você pode usar o upgrade automático de nodes.

Cadeia de suprimentos de software

A cadeia de suprimentos de software exige que você saiba exatamente o que está sendo implantado no seu ambiente. Você precisa ser capaz de controlar seus aplicativos, desde o código até a imagem e a implantação. Esses recursos geralmente são incorporados ao canal CI/CD, ao registro de contêiner, como o Google Container Registry, e como uma verificação de admissão antes da implantação dos contêineres na produção.

Imagens de base seguras

O Google Container Registry oferece uma imagem de base do Debian e uma do Ubuntu, mantidas pelo Google com patches e testes regulares.

Verificação de vulnerabilidades

O Google Container Registry oferece a verificação de vulnerabilidades para conferir se há instabilidades conhecidas do banco de dados de CVE nas suas imagens e pacotes.

Políticas de implantação

No Kubernetes Engine, use a Autorização binária para limitar o que você pode implantar no seu ambiente com base nos atestados de uma imagem.

Versões regulares

Os contêineres podem ser recriados e reimplantados regularmente, para que você possa se beneficiar dos patches mais recentes que são gradualmente implementados no seu ambiente.

Segurança do tempo de execução

Ter segurança do tempo de execução do contêiner significa garantir que sua equipe de resposta de segurança possa detectar e responder a ameaças de segurança aos contêineres em execução no seu ambiente. Esses recursos geralmente são integrados às suas ferramentas de operações de segurança.

Monitoramento

O Kubernetes Engine é integrado ao Stackdriver para facilitar a análise de registros. Também é possível gravar eventos de segurança no Cloud Security Command Center (Cloud SCC).

Detecção de atividade anômala

Use os serviços dos nossos parceiros para monitorar ataques e ver os resultados no Cloud SCC, incluindo: Aqua Security, Capsule8, StackRox, Sysdig Secure e Twistlock.

Isolamento

Evite que um contêiner mal-intencionado afete outro. Use o gVisor, um sandbox de tempo de execução de contêiner, para fornecer mais isolamento de segurança aos contêineres.

Recursos

Explore mais informações específicas sobre a segurança do contêiner.

Visão geral da segurança do Kubernetes Engine

Guia de proteção do Kubernetes Engine

Série do blog sobre a segurança dos contêineres

NIST SP 800-190: guia de segurança de contêineres de aplicativos

Palestra da KubeCon 2017: como navegar em mares cheios de piratas

Google Cloud

Primeiros passos

Aprender e criar

Ainda não conhece o GCP? Comece a usar qualquer produto do GCP gratuitamente com US$ 300 de crédito.

Precisa de mais ajuda?

Nossos especialistas ajudarão você a criar a solução certa ou encontrar o parceiro ideal para suas necessidades.