O que é segurança do Kubernetes?

A importância da segurança do Kubernetes

Como principal plataforma para orquestrar aplicativos conteinerizados em ambientes de nuvem públicos e privados, Kubernetes tornou-se um alvo importante para cibercriminosos. Kubernetes está no centro dos fluxos de trabalho DevOps modernos, permitindo que as equipes automatizem e dimensionem a implantação de aplicativos sem se preocuparem com a infraestrutura subjacente ou com as complexidades do gerenciamento de recursos. 

No entanto, a complexidade do Kubernetestambém significa que é fácil introduzir e ignorar vulnerabilidades ou configurações incorretas que podem expor aplicativos críticos para os negócios. Se o Kubernetes não estiver devidamente protegido, os atacantes podem comprometer cargas de trabalho críticas, exfiltrar dados confidenciais ou até mesmo derrubar serviços essenciais.

Portanto, as organizações precisam de práticas de segurança do Kubernetes que protejam a plataforma e seus componentes fundamentais:

• Conjunto: O ambiente abrangente que contém todos os componentes do Kubernetes. Consiste em um plano de controle que gerencia o cluster e um conjunto de nós de trabalho onde os aplicativos são efetivamente executados.
• Nodes: Máquinas, virtuais ou físicas, que executam cargas de trabalho em contêineres. Cada nó inclui um kubelet que se comunica com o plano de controle, um kube-proxy que gerencia as regras de rede e um ambiente de execução de contêineres.
• Cápsulas: Os nós executam as cargas de trabalho empacotadas em pods, a menor unidade implantável no Kubernetes que encapsula um ou mais contêineres compartilhando armazenamento, namespace de rede e configuração.
• Componentes do Plano de Controle: Gerencia o estado e as operações do cluster. Seus principais componentes incluem o servidor de API e um agendador que atribui pods aos nós.

Também conhecida como segurança do Kubernetes (k8s Security), a segurança do Kubernetes abrange uma ampla gama de medidas de segurança projetadas para proteger esses componentes. Para alcançar esse objetivo, as organizações devem adotar uma estratégia de segurança proativa e multicamadas para monitorar continuamente as ameaças Kubernetes , mitigar ataques e garantir a conformidade com os padrões regulatórios. Com Kubernetes se tornando a base da maioria das infraestruturas de Nuvem, garantir sua segurança é uma necessidade para a continuidade e o sucesso dos negócios.

Segurança Kubernetes para cada fase do ciclo de vida do aplicativo

Para garantir uma segurança robusta do Kubernetes, é crucial abordar as preocupações de segurança em cada fase do ciclo de vida do aplicativo. A segurança não é apenas uma consideração pós-implantação; ela precisa ser integrada em cada etapa do processo de desenvolvimento. 

A seguir, detalhamos as medidas de segurança essenciais para cada fase:

#1. Fase de Desenvolvimento

A fase de desenvolvimento e projeto é a primeira linha de defesa na segurança do Kubernetes. Nesta fase, os desenvolvedores precisam se concentrar na criação de um aplicativo e uma arquitetura seguros que possam resistir a possíveis ataques. Isso envolve proteger a integridade do ambiente de desenvolvimento, projetar o aplicativo com a segurança em mente desde o início e implementar práticas de codificação segura. 

As principais medidas de segurança a serem consideradas incluem:

• Adotar uma arquitetura de confiança zero para validar cada solicitação de acesso.
• Desenvolva um processo de revisão de código e assegure-se de que o código do aplicativo esteja livre de vulnerabilidades.
• Implemente processos seguros de gerenciamento de segredos para lidar adequadamente com dados sensíveis (senhas, chaves de API, tokens OAuth, etc.).

#2. Fase de Distribuição

Durante a fase de distribuição, você deve revisar a cadeia de suprimentos do aplicativo, garantindo que as imagens e outros componentes sejam seguros, estejam atualizados e livres de vulnerabilidades conhecidas. 

To achieve this, you should:

• Analise todas as imagens do contêiner em busca de vulnerabilidades.
• Restrinja o acesso às imagens do contêiner para evitar acesso e manipulação não autorizados.
• Atualize todas as dependências e desenvolva processos de gerenciamento de patches para obter novas atualizações o mais rápido possível.

#3. Fase de Implantação

A fase de implantação é onde o aplicativo é introduzido no cluster Kubernetes . Garantir a segurança durante esta fase envolve configurar o ambiente Kubernetes de forma segura e gerenciar o processo de implantação para minimizar o risco de expor vulnerabilidades. 

Práticas de implantação seguras a serem consideradas incluem:

• Restringir a implantação do aplicativo a usuários e ambientes específicos.
• Analisar imagens de contêineres para verificar a identidade criptográfica, a fim de confirmar se a assinatura é válida, se provém de um editor confiável e se o artefato não foi alterado.
• Implante o aplicativo e o cluster em namespaces separados.

#4. Fase de tempo de execução

Segurança do tempo de execução do Kubernetes Concentra-se na fase operacional, onde o aplicativo está sendo executado dentro do cluster. A fase de execução requer monitoramento contínuo e recursos de resposta a incidentes para limitar o impacto de incidentes de segurança, bem como atualizações contínuas para manter o ambiente seguro. 

Pode ser dividido em três áreas principais:

• Acesso: Proteger a API do Kubernetes com controle de acesso robusto, processos de autenticação e criptografia de todo o tráfego da API.
• Calcular: Escolha um ambiente de execução de contêiner que ofereça um alto nível de segurança e encontre um equilíbrio entre isolar o aplicativo e executá-lo no mesmo host.
• Armazenar: Criptografe clusters e objetos de API em repouso, autentique conexões entre clusters e armazenamento e utilize backups para que você possa restaurá-los, se necessário.

Os 4 Cs da segurança do Kubernetes

Para proteger o Kubernetes de forma eficaz contra ameaças, aborde a segurança sob a perspectiva do modelo dos 4Cs. O modelo 4Cs — segurança de código, contêiner, cluster e Nuvem — é um roteiro para abordar preocupações de segurança na arquitetura Kubernetes .

Segurança de código

O código se refere ao aplicativo executado pelos contêineres. O código representa uma superfície de ataque significativa em ambientes Kubernetes , não apenas pela introdução inadvertida de bugs que resultam em vulnerabilidades, mas também por bibliotecas de terceiros potencialmente vulneráveis.

Para proteger o código em execução na plataforma Kubernetes, comece impedindo o acesso não autorizado ao código com segurança de rede básica e controles de acesso como primeira linha de defesa. Implemente práticas de codificação segura, execute verificações e testes regulares com ferramentas dedicadas e siga as diretrizes de codificação da OWASP .

Container Security

Os contêineres contêm imagens, que por sua vez consistem na imagem base, sistema operacional, configuração do contêiner, dependências e ambiente de execução necessários para executar o código do aplicativo.

Os contêineres executados em pods devem usar imagens base e ambientes de execução confiáveis, cada um dos quais pode ser alvo de agentes maliciosos. Verifique se o repositório de imagens de origem é seguro, minimize a base de código para limitar o número de bibliotecas de terceiros em uso, analise as imagens de contêiner em busca de vulnerabilidades e proteja os pods com controles de acesso e políticas de reconexão para restringir a comunicação entre eles.

Segurança de cluster

A arquitetura do Kubernetes é organizada em clusters. Os clusters do Kubernetes consistem em pods, e cada pod contém um ou mais contêineres que operam na mesma rede local. O projeto de segurança de clusters depende do planejamento cuidadoso das políticas de acesso e das configurações de segurança.

A segurança de clusters envolve a proteção de contêineres e aplicativos em execução dentro deles, do plano de controle ( API, agendador, armazenamento de dados e controladores) e da rede mais ampla na qual o cluster é executado.

Segurança de nuvem

A camada Nuvem é o datacenter físico ou infraestrutura Nuvem que executa Kubernetes, geralmente plataformas de infraestrutura como código (IaC) ou serviços Kubernetes gerenciados.

Os provedores de nuvem oferecem diretrizes e melhores práticas de segurança para a implementação de controles de acesso adequados. Reduza os riscos para a infraestrutura da Nuvem implementando procedimentos de privilégio mínimo nos recursos, verificando vulnerabilidades ou configurações incorretas da Nuvem e controles de acesso para restringir quais usuários podem interagir com Kubernetes.

De modo geral, os administradores podem esperar implementar medidas de segurança em todas as etapas do ciclo de vida do aplicativo: desde a codificação e os testes iniciais, passando pela implantação em produção, até as operações contínuas dentro do cluster.

Princípios-chave para a segurança do Kubernetes

Os seguintes princípios e contramedidas de segurança podem ajudar a garantir a resiliência de aplicativos conteinerizados em execução no Kubernetes:

Role-Based Access Control (RBAC)

No Kubernetes, o RBAC controla o acesso aos recursos dentro do cluster e define as ações que um usuário ou grupo pode ou não executar. O RBAC é usado para isolar o acesso da equipe, restringir operações, controlar o acesso de administradores e gerenciar permissões de contas de serviço.

As funções são usadas para conceder acesso a recursos dentro de um único namespace, enquanto as funções de cluster têm um escopo mais amplo e definem o acesso entre namespaces. Claramente, nem todos os usuários devem ter acesso total e irrestrito a todos os recursos. Ao avaliar funções e permissões no Kubernetes, consulte o princípio do menor privilégio (PoLP) como uma diretriz geral.

Ao usar o RBAC, os administradores devem tender a preferir permissões específicas do namespace em vez de permissões para todo o cluster, especificando controles de acesso para cada objeto e namespace do Kubernetes. Permitir acesso somente quando necessário para tarefas específicas, e nada mais.

Políticas de aplicação

Os contêineres se comunicam com serviços externos e entre si através da rede. Aplicações conteinerizadas frequentemente utilizam clusters de rede extensivamente. Para melhor compreender como os aplicativos interagem com outros sistemas e para identificar comunicações anômalas, implemente o monitoramento do tráfego de rede ativo e compare-o com o tráfego permitido pela política de rede Kubernetes .

Para garantir a conectividade da rede, as organizações devem implementar políticas de rede que limitem a comunicação aos serviços essenciais, priorizando o mínimo necessário para que as cargas de trabalho funcionem corretamente. Esta recomendação aplica-se tanto ao tráfego de entrada como ao de saída para o cluster, bem como ao tráfego dentro do cluster.

Criptografe o tráfego de rede usando redes virtuais privadas (VPNs) e TLS. Para aprimorar a segurança dos contêineres, implante um firewall no ambiente para adicionar outra camada de proteção e implemente a segmentação e o isolamento de recursos para reduzir a superfície de ataque e conter violações.

Impor o acesso de segurança ao pod (PSA)

O PSA, sucessor da Pod Security Policy (PSP), aplica políticas de segurança, conhecidas como Pod Security Standards (PSS), no Kubernetes. Como um recurso integrado, o PSA elimina a necessidade de ferramentas de terceiros, simplificando a segurança ao definir e seguir um conjunto de padrões. Isso impõe restrições a configurações inseguras, reduzindo a superfície de ataque.

O PSS (Perfil de Segurança de Pod) imposto pelo Pod Security Admission define três perfis de segurança para cargas de trabalho. O perfil Privilegiado não impõe restrições e não deve ser usado a menos que seja absolutamente necessário. O perfil Básico oferece um nível mínimo de segurança para o aplicativo, enquanto o perfil Restrito reforça as melhores práticas de segurança.

O PSA verifica se os pods estão configurados de acordo com esses perfis, garantindo a conformidade. Em geral, os administradores devem definir a política Baseline ou Restricted para os pods a fim de garantir a segurança do cluster.

Proteja o plano de controle

O plano de controle do Kubernetes é responsável por controlar o cluster. Ele gerencia o estado, a integridade e os dados de configuração do cluster, garantindo que os contêineres sejam executados com todos os recursos necessários. Devido à sua importância e complexidade, o plano de controle é considerado um tanto difícil de configurar e, consequentemente, tornou-se um alvo principal para atacantes.

O plano de controle consiste nos seguintes componentes:

• etcd: O banco de dados chave-valor etcd armazena informações de configuração e dados de estado do cluster. Certifique-se de que o etcd tenha a criptografia habilitada, que a comunicação seja restrita ao servidor da API, a menos que seja absolutamente necessária, e que os clientes usem autenticação baseada em certificado.
• kube-controller-manager: O daemon Controller Manager executa clusters e controla suas funções. Proteger o Controller Manager envolve restringir o acesso à rede, implementar TLS para todo o tráfego da API, limitar o uso de recursos no cluster e minimizar os privilégios usados pelos contêineres.
• kube-scheduler: O Scheduler gerencia e provisiona novos contêineres. As medidas de segurança incluem desativar sua capacidade de criação de perfis para reduzir sua superfície de ataque e verificar se o endereço IP do Agendador não está vinculado a um IP inseguro.
• kube-apiserver: O servidor de API atua como uma interface, lidando com solicitações internas e externas. Em resumo, proteja o servidor API restringindo o acesso por IPS externos, aplicando mecanismos de autenticação fortes e utilizando TLS. Consulte a seção “Proteger a API do Kubernetes” abaixo para obter mais detalhes.

Proteja o servidor da API do Kubernetes

Usuários externos acessam o plano de controle do Kubernetes por meio da API, portanto, garantir sua segurança e limitar o acesso a usuários não autorizados é extremamente importante.

Para proteger a API do Kubernetes, comece regulando as solicitações direcionadas ao servidor para garantir que solicitações de API não autorizadas não consigam acessar o cluster. Considere usar provedores de autenticação de terceiros, que permitirão a Autenticação Multifatorial (MFA). Utilize conectores OAuth 2.0 ou provedores OpenID Connect (OIDC) para proteger o acesso ao cluster.

Limitar o acesso à rede pública e implementar o Transport Layer Security (TLS) para dados em trânsito pelo servidor API . Confirme também se o armazenamento de dados do Kubernetes, etcd, que se comunica diretamente com o servidor da API, está devidamente protegido.

Varredura de segurança de imagens

As imagens formam a base dos agrupamentos e das estruturas criadas. Essas imagens devem ser verificadas regularmente em busca de vulnerabilidades de segurança, garantindo que os contêineres criados a partir delas não herdem as falhas de segurança da imagem.

Ferramentas de análise de imagens podem ser usadas para identificar vulnerabilidades na imagem base sobre a qual os contêineres são construídos, bem como em aplicativos e bibliotecas incluídas nas imagens dos contêineres. Isso é feito através da verificação da imagem base e de todos os pacotes em um banco de dados de vulnerabilidades.

Garanta que o acesso aos registros de imagens seja restrito para evitar adulteração e verifique todas as imagens durante as etapas do pipeline de integração contínua/implantação contínua (CI/CD) . Adicionar a verificação ao pipeline de CI/CD ajuda a garantir que os contêineres estejam configurados corretamente, atualizados e livres de malware.

Criptografar segredos e comunicações

Segredos são uma forma de informação sensível. No Kubernetes, os segredos mais comuns são normalmente senhas, tokens OAuth, chaves SSH ou outras credenciais. Segredos armazenados em texto não criptografado – em arquivos de configuração YAML, imagens de contêineres ou em documentos dentro de contêineres – representam um risco crítico e colocam em perigo a segurança de todo o cluster.

O Kubernetes oferece um objeto integrado, o Kubernetes Secret, para armazenar esses dados com segurança. Ao utilizar objetos secretos, os administradores podem separar informações confidenciais do código do aplicativo.

Como os segredos do Kubernetes lidam com informações privilegiadas, eles são frequentemente alvos de hackers. Os segredos devem ser criptografados em repouso, e o acesso a eles deve ser restrito apenas aos componentes e usuários que necessitam deles. Implementar práticas ou sistemas de varredura de segredos para identificar e remediar a exposição acidental de segredos.

Limitar a exposição do nó

Os nós do Kubernetes são de dois tipos principais: nós mestres e nós de trabalho. Os nós mestres executam os serviços básicos do cluster, incluindo o servidor de API, o agendador, o controlador e o armazenamento de dados etcd. Os nós de trabalho executam o aplicativo dentro do cluster.

Os clusters Kubernetes são compostos por nós que executam sistemas operacionais Linux ou Windows. Muitas técnicas de segurança que geralmente se aplicam à proteção desses sistemas operacionais são válidas no contexto de nós Kubernetes :

• Instale apenas o aplicativo e as bibliotecas necessárias para que o cluster funcione corretamente, e nada mais.
• Restrinja o acesso a contas administrativas/de root, utilizando-as apenas quando necessário.
• Implante ferramentas de monitoramento em tempo real para detectar violações de segurança em andamento.
• Os nós Linux podem ser reforçados com ferramentas como SELinux ou AppArmor.

Além disso, o Centro para Segurança da Internet (CIS) fornece um conjunto de parâmetros de segurança para nós mestres e nós de trabalho. Utilizando uma ferramenta como o Kube-bench, os administradores podem analisar seus clusters e avaliá-los em relação aos benchmarks do CIS. Essas verificações geralmente fornecem recomendações para corrigir configurações que não estão em conformidade com as melhores práticas do CIS.

Ativar registros de auditoria

Os registros de auditoria são importantes para manter tanto as operações quanto a segurança. Esses registros oferecem informações práticas sobre a atividade do cluster e permitem a detecção rápida de atividades anômalas. Embora o Kubernetes inclua recursos de registro de auditoria como uma funcionalidade integrada, eles não estão habilitados por padrão. Após a ativação, todas as ações são registradas no cluster.

Os administradores de cluster devem configurar uma política de auditoria que defina os eventos a serem registrados, bem como as ferramentas externas para armazenamento, gerenciamento e análise desses registros. Isso garante a detecção rápida de problemas de segurança, além de fornecer as informações necessárias para que as equipes de resposta a incidentes (IR) investiguem quaisquer violações que ocorram.

Executar cargas de trabalho com privilégios mínimos

As cargas de trabalho do Kubernetes podem ser complexas e difíceis de proteger adequadamente. As cargas de trabalho são dinâmicas, transitando entre ambientes locais e em Nuvem, cada um com seus próprios controles de segurança. Além disso, os processos automatizados de CI/CD frequentemente implantam novos serviços ou novas versões em nós do cluster, intensificando a complexidade.

Em geral, os administradores nunca devem confiar nas cargas de trabalho. Aplique políticas de segurança refinadas para restringir a comunicação entre cargas de trabalho e aplicativos de terceiros. Isso reduz a probabilidade de movimentação lateral das ameaças e ajuda a manter a conformidade.

As definições de segurança da rede devem ser incorporadas às cargas de trabalho, garantindo que sejam portáteis entre as distribuições Kubernetes e o centro de dados. Dessa forma, onde quer que a carga de trabalho seja executada, ela leva consigo as definições de segurança.

Por fim, configure ferramentas de segurança de perímetro para monitorar continuamente os endereços IP e as portas usadas pelas cargas de trabalho, permitindo a identificação em tempo real de comportamentos suspeitos.