Seguridad de contenedores

Protege tu entorno de contenedores en GCP, GKE o Anthos.

Descripción general

El uso de contenedores permite a nuestros equipos de desarrollo realizar transferencias rápidas, implementar software de manera eficaz y operar a una escala sin precedentes. A medida que las empresas crean más cargas de trabajo en contenedores, es fundamental integrar la seguridad en cada etapa del ciclo de vida de implementación y compilación. Obtén información sobre cómo asegurar cualquier entorno de contenedores que ejecutas en GCP, ya sea de Google Kubernetes Engine o Anthos, en tres áreas esenciales.

Seguridad de la infraestructura

La seguridad de la infraestructura consiste en la capacidad de las plataformas de administración de contenedores de proporcionar las funciones de seguridad más adecuadas. Kubernetes incluye funciones de seguridad que te permiten proteger las identidades, los secretos y las redes. Google Kubernetes Engine usa funciones nativas de GCP, como Cloud IAM, Cloud Audit Logging y nubes privadas virtuales, además de características específicas de GKE, como la encriptación de secretos en la capa de la aplicación y Workload Identity, para brindar a tus cargas de trabajo las mejores opciones de seguridad de Google.

Cadena de suministro de software

Proteger la cadena de suministro de software implica contar con la seguridad para implementar las imágenes de los contenedores. También permite garantizar que estas no sean susceptibles a vulnerabilidades y que las imágenes que compiles no se modifiquen antes de implementarlas.

Seguridad en el entorno de ejecución

La seguridad en el entorno de ejecución te permite identificar contenedores que tengan un comportamiento sospechoso en la fase de producción y tomar las medidas necesarias para proteger tus cargas de trabajo.

La ejecución de contenedores te permite adoptar un modelo de seguridad fundamentalmente diferente

Opciones más simples de inmutabilidad y administración de parches

Opciones más simples de inmutabilidad y administración de parches

Los contenedores están diseñados para ser inmutables; por eso, si quieres realizar cambios en uno, debes implementar una imagen nueva. Vuelve a compilar tus imágenes con regularidad y simplifica la administración de parches para que el sistema los tenga en cuenta la próxima vez que implemente un contenedor. Además, obtén un panorama completo de tu entorno con revisiones frecuentes de la seguridad de imágenes.

Menor superficie de ataque

Menor superficie de ataque

Los contenedores están diseñados para ejecutarse en SO del host mucho más pequeños que los de las VM, debido a que se empaqueta más contenido directamente en las aplicaciones. Este tamaño mínimo del SO del host disminuye la potencial superficie de ataque asociada a tus cargas de trabajo.

Aislamiento de los recursos y las cargas de trabajo

Aislamiento de los recursos y las cargas de trabajo

Los contenedores brindan una forma sencilla de aislar recursos, como los volúmenes de almacenamiento, a fin de usarlos en procesos específicos con cgroups y espacios de nombres. Con tecnologías como GKE Sandbox, puedes aislar las cargas de trabajo de forma lógica en una zona de pruebas de VM secundarias independiente de las demás aplicaciones.

Seguridad de la infraestructura

La seguridad de la infraestructura de contenedores consiste en garantizar que los desarrolladores cuenten con las herramientas necesarias para compilar servicios en contenedores de forma segura. Por lo general, estas funcionalidades están incorporadas en los organizadores de contenedores, como Kubernetes. Si usas Google Kubernetes Engine, tanto esta función como otras funciones de Google Cloud están disponibles de manera nativa.

Identidad y autorización

En Google Kubernetes Engine, usa Cloud IAM para administrar el acceso a tus proyectos y el control de acceso según la función (RBAC) para administrar quiénes acceden a los clústeres y a los espacios de nombres.

Registro de auditoría

En Kubernetes, los registros de auditoría de las API se capturan de forma automática. En Google Kubernetes Engine, los registros de auditoría de Cloud registran de forma automática los registros de auditoría de API.

Herramientas de redes

Crea una política de redes en Google Kubernetes Engine para administrar la comunicación entre los pods de tu clúster. Usa clústeres privados para las IP privadas y, además, incluye los recursos de Google Kubernetes Engine en una VPC compartida.

Cumplimiento

Google Kubernetes Engine cuenta con muchas certificaciones de cumplimiento, como ISO 27001, ISO 27017, ISO 27108, HIPAA y PCI-DSS.

Tamaño mínimo del SO del host

De forma predeterminada, Kubernetes Engine usa Container-Optimized OS (COS), un SO diseñado y optimizado para la ejecución de contenedores. Google mantiene COS con código abierto.

Componentes actualizados de forma automática

En GKE, las instancias principales se actualizan de forma automática con los parches de la versión más reciente de Kubernetes y puedes usar la actualización automática en tus nodos a fin de aplicar los últimos parches y mantener la seguridad actualizada.

Claves de encriptación administradas por el cliente

Los usuarios de sectores regulados pueden necesitar tener el control de las claves usadas para encriptar los datos almacenados en GKE. Con las claves de encriptación administradas por el cliente, puedes elegir una clave de Cloud KMS a fin de proteger tu disco persistente de GKE.

Encriptación de secretos de la capa de la aplicación

De forma predeterminada, los secretos de Kubernetes se almacenan en un texto sin formato. GKE los encripta en discos y supervisa estos datos para el acceso de usuario con información privilegiada. Sin embargo, esto solo puede no ser suficiente para proteger esos secretos de una aplicación maliciosa en tu entorno. La encriptación de secretos de la capa de la aplicación los protege con encriptación de sobre, con una clave que administras en Cloud KMS.

Workload Identity

Es posible que tu aplicación en contenedores necesite conectarse a otros servicios, como una base de datos, a fin de cumplir sus tareas. Para ello, tu aplicación primero debe autenticarse. Workload Identity usa una cuenta de servicios administrada por Google con el fin de compartir las credenciales de autenticación y sigue los principios del mínimo privilegio para la autenticación de la aplicación.

Certificados SSL administrados

En GKE, los balanceadores de cargas de HTTPS deben estar asociados con un certificado SSL. Puedes obtener, administrar y renovar estos certificados o hacer que Google los obtenga, administre y renueve de manera automática, lo que te ahorra la responsabilidad de renovarlos (o que te olvides de hacerlo).

Cadena de suministro de software

La cadena de suministro de software consiste en saber con exactitud qué se implementa en tu entorno, es decir, controlar desde el código hasta las imágenes y la implementación de las aplicaciones. Por lo general, estas funcionalidades están integradas en las canalizaciones de CI/CD, en el registro de contenedores (como Google Container Registry) y en las verificaciones de admisión que se realizan antes de la puesta en producción de los contenedores.

Seguridad y administración de las imágenes base

Google Container Registry proporciona imágenes base de Debian y Ubuntu, que Google mantiene con pruebas y parches de forma periódica. Estas imágenes administradas por Google se corrigieron con los parches disponibles más recientes de procesamiento posterior, de modo que puedes mantener tus imágenes actualizadas con facilidad sin tener que extraerlas desde un repositorio desconocido o mantenerlas tú mismo.

Análisis de vulnerabilidades

Google Container Registry ofrece análisis de vulnerabilidades a fin de descubrir debilidades conocidas de la base de datos de CVE en tus imágenes y paquetes.

Políticas de implementación

En Google Kubernetes Engine, usa la autorización binaria para limitar lo que implementas en tu entorno en función de certificaciones de imagen. Puedes solicitar que las imágenes cumplan los requisitos que definiste mediante certificaciones o firmas antes de que se implementen. Los requisitos pueden incluir el análisis de la imagen en busca de vulnerabilidades o la verificación por parte del equipo de QA.

Compilaciones frecuentes

Los contenedores se pueden volver a compilar e implementar con regularidad, lo que te permite aprovechar los parches más recientes que incorporamos de forma gradual en tu entorno.

Seguridad en el entorno de ejecución

La seguridad en el entorno de ejecución de los contenedores consiste en garantizar que los equipos de trabajo correspondientes puedan detectar amenazas de seguridad que afecten a los contenedores en ejecución en tu entorno y responder a ellas. Por lo general, estas funcionalidades están incorporadas en las herramientas de operaciones de seguridad.

Monitoring

Google Kubernetes Engine está integrado en Cloud Logging para facilitar el análisis de registros. También puedes escribir los eventos de seguridad en Cloud Security Command Center (Cloud SCC).

Detección de actividad anómala

Aprovecha las capacidades de nuestros socios para supervisar ataques y ver los resultados en Security Command Center. Algunos de nuestros socios son Aqua Security, Capsule8, StackRox, Sysdig Secure y Twistlock.

Aplica políticas de seguridad

PodSecurityPolicy es una función de código abierto de Kubernetes y te ayuda a crear recursos de seguridad para tus contenedores mediante la configuración de restricciones en la forma en la que se pueden ejecutar tus pods, por ejemplo, si aplicas restricciones, como AppArmor y seccomp.

Aislamiento

Evita que un contenedor malicioso afecte a los demás. GKE Sandbox usa un kernel de espacio de usuario a fin de interceptar y controlar llamadas del sistema y agrega una defensa en profundidad a tus contenedores sin cambiar la forma en la que los desarrolladores interactúan con sus aplicaciones. GKE Sandbox se basa en gVisor, un proyecto de código abierto creado en Google.

Recursos

Obtén más información sobre la seguridad de los contenedores.

Google Cloud

Comienza ahora

Aprende y crea

¿Acabas de comenzar a usar GCP? Empieza a usar cualquier producto de GCP sin costo con un crédito de $300.

¿Necesitas más ayuda?

Nuestros expertos te ayudarán a crear la solución adecuada o a encontrar el socio más conveniente según tus necesidades.