As 7 principais práticas recomendadas de segurança do Kubernetes

Kubernetesuma plataforma de código aberto para gerenciar e implantar contêineres em escala usando clusters Kubernetes, tornou-se a pedra angular da infraestrutura corporativa. Esse crescimento em popularidade também significa que o Kubernetes também se tornou um alvo de alto valor para os invasores. Explorações baseadas no Kubernetes, como o Ataque de cryptojacking na Tesla e Siloscape malware tornam essa realidade inegavelmente clara.

Como o Kubernetes é agora um componente fundamental da infraestrutura de aplicativos corporativos e um ponto de ataque comum para hackers, proteger a implantação do K8s deve ser a principal prioridade das empresas.

Teste gratuito Guia de segurança do Kubernetes

Segurança do Kubernetes VS segurança do aplicativo Práticas recomendadas

Em muitos casos, Segurança do Kubernetes As práticas recomendadas se alinham às práticas recomendadas gerais de segurança de rede e de aplicativos. Por exemplo, a criptografia de dados em repouso e em trânsito é uma questão de importância em qualquer ambiente de produção - K8s ou não. Da mesma forma, o manuseio adequado de dados confidenciais, como senhas e chaves de API, é obrigatório. Na maioria das vezes, as equipes de DevSecOps das empresas estão cientes dessas práticas recomendadas básicas e fazem um bom trabalho ao aproveitá-las.

Aqui, iremos além do básico e analisaremos 7 práticas recomendadas de segurança do Kubernetes que podem levar a segurança empresarial para o próximo nível. 

#1. Faça do K8s Posture Management & Visibility uma prioridade 

Em um nível mais elevado, o gerenciamento e a visibilidade da postura do K8s consistem em ser capaz de fazer duas coisas de forma eficaz:

  • Configure todos os clusters do K8s e cargas de trabalho de contêineres com segurança. 
  • Ter visibilidade granular contínua de todas as cargas de trabalho e configurações dentro da empresa. 

É claro que é mais fácil falar do que fazer para atingir essas metas, principalmente em ambientes com várias nuvens. Então, o que especificamente as equipes de segurança corporativa podem fazer para otimizar a postura e a visibilidade da segurança do Kubernetes? Cobriremos muitas dessas etapas nas práticas recomendadas a seguir. No entanto, um pré-requisito é a adesão da organização para priorizar a segurança dos K8s em toda a empresa. 

Aqui estão algumas das etapas mais impactantes que as empresas podem adotar para iniciar sua jornada para melhorar a segurança do K8s em um nível elevado. 

  • Configuração obrigatória de clusters Kubernetes usando as práticas recomendadas do setor: Embora cada implantação tenha suas nuances, todas as empresas podem fazer referência a padrões de segurança de contêineres bem definidos para fortalecer seus clusters K8s e cargas de trabalho de contêineres. Por exemplo, o NIST 800-190 aplicativo Container Security Guide (pdf) e Referências de CIS fornecem orientação especializada e são excelentes linhas de base a serem seguidas pelas empresas. O aproveitamento de padrões como esses pode ajudar muito a melhorar a postura geral de segurança da empresa. 
  • "Mudar para a esquerda" e automatizar: A configuração manual é uma receita para descuidos e erros humanos. "Mudar a segurança para a esquerda", o processo de integração da segurança o mais cedo possível no processo de desenvolvimento, ajuda inerentemente a limitar a configuração manual e incentiva a automação das práticas recomendadas de segurança. Como resultado, as equipes de DevSecOps podem criar práticas recomendadas de segurança para o Kubernetes em pipelines de CI/CD para garantir que elas sejam aplicadas de forma consistente e escalonadas sem problemas. 
  • Implementar a microssegmentação: Microssegmentação de contêineres e clusters Kubernetes ajuda a aplicar princípios de confiança zero em toda a infraestrutura corporativa e limita o movimento lateral no caso de uma violação. Como resultado, a implementação de políticas de microssegmentação nas cargas de trabalho corporativas é fundamental para otimizar a postura geral de segurança. 
  • Imponha a anotação e a rotulagem corretas em toda a empresa: Os rótulos do Kubernetes determinam como as políticas e os objetos são agrupados e até mesmo onde as cargas de trabalho são implantadas. Como resultado, garantir que a rotulagem consistente seja usada em clusters corporativos é um aspecto essencial para manter uma postura de segurança sólida. Da mesma forma, a aplicação de políticas que exijam anotações específicas nas cargas de trabalho e a especificação de manchas e tolerâncias para limitar onde as cargas de trabalho podem ser implantadas são etapas táticas necessárias para as equipes de DevSecOps. 
  • Aproveite o monitoramento contínuo: As auditorias de segurança pontuais, os testes de invasão e as varreduras de vulnerabilidade não são mais suficientes. Para acompanhar as ameaças e os perímetros de rede em constante iteração, as empresas precisam monitorar e verificar continuamente a existência de ameaças, intrusões e configurações inseguras em seus clusters de K8s. 

#2. Implementar o Image Assurance

As imagens de contêineres são os blocos de construção das cargas de trabalho do K8s. Infelizmente, imagens de contêineres inseguras são uma ameaça generalizada. Caso em questão: uma análise de 2020 descobriu que mais da metade das imagens no Docker Hub tinha uma vulnerabilidade crítica. Como resultado, garantir que as imagens usadas em um Grupo K8s sejam seguros e extraídos de fontes confiáveis são práticas recomendadas importantes de segurança do Kubernetes. 

Para implementar a garantia de imagem, as empresas devem utilizar ferramentas de segurança que:

  • Escaneia imagens durante o desenvolvimento e o tempo de execução.
  • Impede a implantação de contêineres que não aderem à política.
  • Desconstrói as camadas da imagem e verifica os pacotes e as dependências dentro de uma imagem.
  • Verifica as imagens em busca de malware, vulnerabilidade e configurações inseguras, como senhas e chaves de criptografia em texto simples.

#3. Ajuste fino das políticas com controladores de admissão

O servidor de API do Kubernetes é uma superfície de ataque que as empresas devem proteger contra solicitações inseguras ou mal-intencionadas. Os controladores de admissão são partes de código projetadas para ajudar a fazer exatamente isso. 

Os controladores de admissão atuam nas chamadas de API após a autorização, mas antes da persistência, para que possam ajudar a proteger contra modificações no cluster em caso de erro humano, configurações incorretas ou contas comprometidas. Com os controladores de admissão, as empresas podem definir políticas bem ajustadas para limitar uma variedade de ações, incluindo atualizações de pods, implantação de imagens e atribuições de funções. 

#4. Proteja os aplicativos da Web e a API com um WAAP

Os sistemas tradicionais de firewall de aplicativo da Web (WAF) e de detecção e prevenção de intrusões (IDS/IPS) não são flexíveis nem inteligentes o suficiente para acompanhar as ameaças que os aplicativos da Web e as APIs modernas enfrentam. Para enfrentar ameaças como bots e ataques de dia zero, as empresas devem usar um aplicativo da web e proteção de API (PAA) solução. 

Os WAAPs são projetados com o aplicativo moderno nativo da nuvem em mente e oferecem funcionalidades como:

  • API e proteção do microsserviço.
  • Firewall de aplicativo da web (Web Application Firewall, WAF) integrado de última geração (NGWAF).
  • Proteção contra bots e DDoS.
  • Limitação de taxa avançada que reduz os falsos positivos.

#5. Use soluções inteligentes de proteção em tempo de execução 

Um dos mais difíceis atos de equilíbrio com a segurança do K8s é identificar o comportamento mal-intencionado e proteger as cargas de trabalho contra ataques em tempo real, limitando os falsos positivos. Para obter o equilíbrio certo, as empresas precisam de soluções inteligentes que usem vários pontos de dados para identificar e atenuar as ameaças. Isso requer uma abordagem em três frentes para a proteção do tempo de execução, que inclui:

  • Criação de perfil em tempo de execução: Cada cluster do K8s é diferente, e as linhas de base de desempenho são importantes para detectar comportamentos mal-intencionados. As soluções modernas de proteção de tempo de execução realizam a criação de perfis de tempo de execução para estabelecer linhas de base de comportamento normal para fluxos de rede, atividade do sistema de arquivos e processos em execução. Essas linhas de base podem ajudar os mecanismos de detecção de ameaças a detectar e atenuar possíveis ameaças com contexto, melhorando a postura geral de segurança e limitando os falsos positivos. 
  • Detecção de assinatura de comportamento malicioso: Um banco de dados robusto de comportamentos mal-intencionados conhecidos permite que as ferramentas de segurança detectem ameaças comuns com rapidez e precisão. Ao comparar o comportamento observado com um banco de dados de assinaturas, as ameaças conhecidas podem ser contidas antes que tenham a oportunidade de invadir uma rede. 
  • Motores antimalware: Os mecanismos inteligentes antimalware e a varredura contínua das cargas de trabalho em tempo de execução são componentes essenciais da proteção em tempo de execução. Os mecanismos antimalware são o carro-chefe da segurança em tempo de execução e as empresas devem verificar continuamente todas as cargas de trabalho para detectar ameaças o mais rápido possível.  

#6. Invista na moderna proteção contra intrusão K8s

Tecnologia IPS/IDS tem sido um elemento básico da segurança empresarial há anos, e isso não mudou com o surgimento de contêineres e Kubernetes. Fundamentalmente, as ferramentas que detectam comportamentos suspeitos e os sinalizam ou evitam sempre serão a pedra angular da segurança empresarial. O que mudou foi a natureza dinâmica dos ativos que o IPS/IDS deve proteger e as ameaças que as empresas modernas enfrentam. 

As soluções modernas de proteção contra intrusões para o Kubernetes precisam ser capazes de executar funções como:

  • Varredura de portas internas dos pods K8s.
  • Analisar dados relacionados a contas, fluxo de tráfego do aplicativo e operações de cluster do K8s. 
  • Detectar ameaças modernas, como a criptomineração. 

Além disso, os IPS/IDS modernos precisam operar em ambientes multinuvem para proteger os clusters de K8s onde quer que sejam implantados. 

#7. Enfatize a visualização e os relatórios regulares

Para entender o estado atual de sua postura de segurança, as empresas precisam ter acesso a relatórios e visualizações atualizados (por exemplo dashboards) que respondem por toda a infraestrutura do aplicativo. 

Não existe um conjunto único de KPIs e relatórios de que todas as empresas precisam, portanto, a personalização é um aspecto importante de uma solução eficaz. No entanto, qualquer solução de visualização e geração de relatórios de segurança K8s de nível empresarial deve incluir dados agregados de todos os nuvens, a capacidade de detalhamento para mostrar detalhes mais granulares e uma visão geral de ativos e alertas em um único painel.

É importante não ignorar a importância dos painéis e das visões gerais de alto nível ao avaliar as ferramentas de visualização e geração de relatórios. Um dos maiores desafios de muitas ferramentas de relatórios é a sobrecarga de informações e a falta de clareza. Há tantas informações que se tornam incoerentes em nível empresarial. Com as visualizações e os relatórios de alto nível corretos, as empresas podem avaliar de forma rápida e eficaz seu desempenho geral. Container Security e entender em quais descobertas eles precisam se concentrar primeiro.

Proteja o Kubernetes com o CloudGuard

Para implementar efetivamente as práticas recomendadas aqui, as empresas precisam da estratégia certa e ferramentas projetadas com Kubernetes e Pipelines CI\CD em mente. As ferramentas tradicionais são simplesmente inflexíveis demais para acompanhar as ameaças modernas. 

Felizmente, a plataforma Container Security da CloudGuard oferece às empresas um conjunto completo de ferramentas criadas especificamente para proteger suas cargas de trabalho K8s. Na verdade, a plataforma CloudGuard pode ajudar as empresas a implementar cada uma das sete práticas recomendadas de segurança do Kubernetes apresentadas neste artigo.

Por exemplo, com o CloudGuard, as empresas podem agregar informações de segurança do K8s de diferentes nuvens para fornecer visualizações de segurança robustas que não são possíveis sem ferramentas de segurança do K8s criadas especificamente para esse fim. Como resultado, as empresas podem avaliar rapidamente sua postura de segurança em um nível elevado e detalhar rapidamente para quantificar a natureza de ameaças específicas. 

Além disso, com a plataforma de segurança de contêineres do CloudGuard, as empresas também se beneficiam:

  • Proteção completa em todas as nuvens em um ambiente com várias nuvens.
  • Ferramentas "Shift Left" que integram a segurança ao processo de desenvolvimento o mais cedo possível.
  • Implantação automática de controles de segurança em pipelines CI\CD.
  • Infraestrutura robusta como código (IAC) para detectar configurações inseguras de K8s. 
  • Varredura de imagens de contêineres. 
  • Proteção automatizada em tempo de execução.
  • Detecção de intrusão, caça a ameaças e inteligência de ameaça. 

Para saber mais, o senhor pode Inscreva-se hoje mesmo para obter uma segurança de contêiner demo. No site demo, os especialistas em segurança da CloudGuard fornecem exemplos práticos de como o senhor pode automatizar a segurança do Kubernetes. O senhor receberá orientação especializada sobre tópicos como varredura de IAC, deslocamento para a esquerda, proteção automatizada de tempo de execução e implementação de práticas recomendadas de segurança para Kubernetes para melhorar sua postura geral de segurança.

O senhor também pode Baixe nosso Guia de segurança de contêineres e Kubernetes, onde o senhor aprenderá mais sobre as abordagens modernas de segurança de contêineres. Este guia de segurança fornece aos senhores insights baseados em evidências sobre tópicos como abordagens modernas para contêineres e microsserviço, práticas recomendadas para desafios críticos de segurança enfrentados pelas empresas atualmente e como as soluções de segurança nativas da nuvem podem automatizar a prevenção de ameaças e a proteção de cargas de trabalho.

Iniciar

Proteção de workload
Container Security
Como está sua postura de segurança do Kubernetes?
CloudGuard – Recursos do Kubernetes
Segurança de nuvem Knowledge Center

Tópicos relacionados

What is Kubernetes?
Segurança do Kubernetes
Cluster Kubernetes
Firewall de aplicativo da web (Web Application Firewall, WAF) (WAF)
Aplicativo de autoproteção em tempo de execução (RASP)

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, você concorda com o uso de cookies. Para mais informações, leia o nosso Aviso de Cookies.
OK