Las 3 claves para una contenerización segura

En los entornos empresariales está muy de moda la contenerización, debido a los beneficios que otorga, como por ejemplo la escalabilidad basada en la demanda que permite responder mucho más rápido a las necesidades de los negocios, o la agilidad que proporciona en los desarrollos de apps.

Gartner estima que más del 75% de las organizaciones globales ejecutarán aplicaciones en contenedores en producción para 2022, más del doble de la cantidad actual. Según los expertos de Qualys, Inc., proveedor pionero y líder de soluciones de cumplimiento y seguridad basadas en la nube, es imprescindible considerar el impacto de esta tendencia en las operaciones de seguridad y para ello es necesario tener en cuenta tres importantes premisas de la contenerización:

Supone una ruptura con el enfoque tradicional de la gestión de la seguridad

Esto es debido a que cada imagen de contenedor –es decir, cada una de las representaciones estáticas de las aplicaciones o servicios- pueden crearse, usarse a demanda y después eliminarse. Muchas imágenes carecen de estado y no dejan huella de su existencia, lo que dificulta la labor de los equipos de seguridad TI a la hora de proteger y administrar estos entornos. Entender esta ruptura supone un antes y un después en el enfoque a seguir: ha de existir una mayor colaboración entre los equipos de desarrollo de software y los equipos de seguridad.

Implica unas complicaciones específicas

Existen ventajas en este modelo, como el hecho de que la inmutabilidad de los contenedores pueda detener algunos problemas de seguridad que podrían afectar a otras aplicaciones. Pero también existen un conjunto de problemáticas propias de estos entornos, como el hecho de que una sola imagen insegura almacenada en un registro –o biblioteca de imágenes- pueda crearse muchas veces en contenedores separados generando una superficie de ataque generalizada.

En líneas generales, las principales complicaciones a tener en cuenta son:

  • Problemas a nivel del host: una mala configuración del host del contenedor o una vulnerabilidad podrían exponer su seguridad.
  • Compromiso de la imagen del contenedor: Esto sucede cuando software vulnerable es incluido en la imagen de base del registro, que luego se extendería al incluirse en todos los nuevos contenedores creados.
  • Vulnerabilidades del contenedor: una vulnerabilidad o una configuración incorrecta en un contenedor supone por sí mismo un riesgo potencial para la seguridad.
  • Los atacantes pueden buscar formas de salir desde un único contenedor para entrar en una red más amplia o moverse lateralmente desde una máquina comprometida en la red hacia la implementación del contenedor.

Demanda una visión de la seguridad enfocada dentro de la imagen del contenedor. Esto incluiría la implementación de reglas muy específicas como no proporcionar acceso ssh a contenedores en ejecución o no permitir que el proceso httpd se ejecute como un servidor web en el puerto 80 dentro de un contenedor de base de datos. Y, en esta línea, será necesario analizar cómo se puede integrar la seguridad en el proceso de desarrollo del software marcando pasos a seguir como el de implementar análisis de seguridad como parte del proceso de registro de los contenedores, así como mientras estos se hallan activos y operativos. “Observar el ciclo de vida completo de los contenedores desde el momento del desarrollo del software hasta su puesta en producción facilitará la detección de cualquier problema de seguridad”, destaca Sergio Pedroche, director técnico para España y Portugal de Qualys.

Los expertos de Qualys destacan, como conclusión, que si no se realiza la aproximación de seguridad adecuada todos esos beneficios implícitos en la contenerización –agilidad, flexibilidad, velocidad de desarrollo etc.- se verían comprometidos o anulados.

“Es crucial que tomemos conciencia de la idiosincrasia de esta tendencia y de que cualquier enfoque de seguridad debería formar parte del proceso de desarrollo e integrarse en las herramientas que utilizan diariamente los desarrolladores mediante APIs”, concluye Pedroche. “Intentar aplicar las herramientas de seguridad por separado no haría sino retrasar los procesos”.    

Ir arriba