Seguridad

Claves de seguridad para los contenedores Linux

Claves de seguridad para los contenedores Linux

Los contenedores Linux ayudan a los desarrolladores de software a ahorrar tiempo y dinero, proporcionando un mecanismo para construir aplicaciones mucho más manejables a través de desarrollo, testing y entornos de implementación. ¿Sabes cómo cuidar su seguridad?

Forrester ha realizado un estudio que muestra que más de la mitad (53%) de los responsables de operaciones y desarrollo de TI consideran la seguridad como la mayor preocupación a la hora de adoptar contenedores.

Las mejores distribuciones Linux para tu empresa

Kimberly Craven, Senior Manager de Marketing comercial de Plataformas y Contenedores de Red Hat ha ofrecido una serie de claves de seguridad de contenedores Linux.

Cómo preservar la seguridad de los contenedores Linux

Las claves deben ser la procedencia, el contenido, el aislamiento y la confianza en torno a los contenedores Linux. Las desmenuzamos a continuación.

Utiliza fuentes de confianza

Más del 30% de las imágenes oficiales en Docker Hub contienen vulnerabilidades de alta prioridad según un reciente estudio de BanyanOps. La certificación aumenta el nivel de seguridad, confirmando quién es el creador contenedor y cuál es su propósito. Las certificaciones, creadas por Red Hat y otros líderes de esta industria asegura que:

  • Todos los componentes proceden de fuentes de confianza
  • Los paquetes de la plataforma no han sido manipulados y están actualizados
  • La imagen del contenedor está libre de vulnerabilidades conocidas en los componentes y capas de la plataforma
  • Los contenedores son compatibles y se ejecutarán mediante entornos host certificados

Debes verificar la procedencia de un contenedor, pero también es fundamental averiguar que hay dentro de la imagen, mediante herramientas como DCI (Deep Container Inspection) ol simiñares-

Aislamiento

Cuando tengas aplicaciones basadas en contenedores de confianza, tu objetivo debe ser asegurar que no se vean comprometidas por otras imágenes de contenedores en el mismo host. El contenido malicioso de un solo contenedor puede irrumpir dentro de otro contenedor o en el host del sistema operativo. Craven explica que cada proceso ejecutado dentro de un contenedor se comunica directamente con el host kernel, que funciona como único punto de fallo.

Debes contar con un SO host mantenido por ingenieros de confianza, y actualizarlo frecuentemente con las últimas actualizaciones de seguridad. Los contenedores construidos en un host débil heredan el peligroso modelo de seguridad proporcionado por ese host. El kernel debe incluir funcionalidades que proporcionen unos niveles adecuados de aislamiento y separación como SELinux, Seccomp, Namespaces y más.

Por otro lado, cabe destacar que las aplicaciones de contenedores requieren las mismas precauciones de seguridad que las aplicaciones tradicionales.

Confianza temporal

Aunque confíes en una imagen de contenedor cuando se crea, tanto este contenedor Linux como su contenido pueden volverse obsoletos con el tiempo. Ya que se identifican nuevas vulnerabilidades a diario, y la imagen del contenedor depende del código y las dependencias que contiene. una única vulnerabilidad puede quebrar y poner en peligro toda tu infraestructura.

Un DCI de nivel empresarial, junto a certificaciones, políticas y fiabilidad, son claves para el desarrollo, despliegue y gestión de los contenedores. En resumen, para aprovechar al máximo los beneficios que ofrecen los contenedores, garantizando a la vez la seguridad, es importante que las organizaciones sepan determinados:

  1. La procedencia: Antes de mover un contenedor a tu red, averigua lo que hay dentro y su origen. Investiga la tecnología de validación y las opciones de certificación para confiar en la fuente del contenedor.
  2. El contenido: Es importante investigar en profundidad los contenedores para identificar el formato de imagen del contenedor y su contenido. 
  3. El aislamiento: Puedes aislar la ruta de ejecución del contenedor utilizando SELinux. En entornos multiusuario, ten en cuenta los contenedores de acoplamiento con virtualización para una capa adicional de protección.
  4. La confianza en el tiempo: No olvides analizar el contenido de los contenedores con regularidad para validar la mitigación de riesgos de seguridad. Puedes emplear herramientas runtime como Red Hat OpenShift Enterprise. 

Vía | Silicon

Sobre el autor de este artículo

Andrea Núñez-Torrón Stock

Licenciada en Periodismo y creadora de la revista Literaturbia. Entusiasta del cine, la tecnología, el arte y la literatura.