Red Hat, el proveedor líder mundial de soluciones de código abierto, anunció nuevas innovaciones y capacidades de seguridad en su cartera de tecnología de nube híbrida abierta. Diseñadas para ayudar a las organizaciones a reducir el riesgo y cumplir con los requisitos de cumplimiento en un entorno de TI cada vez más complejo de servicios de nube híbrida, sistemas heredados y dispositivos de borde, estas mejoras están diseñadas para minimizar la complejidad mientras ayudan a los clientes a mejorar sus políticas de seguridad y Habilitar DevSecOps.
Según el informe Global Technology Outlook 2021 de Red Hat, el 45 % de los encuestados calificó la seguridad de TI como su principal prioridad de financiación. Sin embargo, la seguridad de TI no es un requisito estático: los controles reglamentarios, los requisitos de cumplimiento y los atacantes cibernéticos cambian casi a diario, lo que requiere una vigilancia casi constante por parte de los equipos de seguridad de TI.
Red Hat ha sido durante mucho tiempo líder en seguridad para soluciones empresariales de código abierto, empezando por Red Hat Enterprise Linux, considerando la seguridad como un componente fundamental y no como un añadido. Los analistas de KuppingerCole han reconocido recientemente a Red Hat como líder global en su Brújula de Liderazgo para la seguridad de los contenedores. Según la evaluación de KuppingerCole, «con una presencia masiva en el mercado y una experiencia probada en la gestión de contenedores, mejorada por la reciente adquisición e integración de StackRox, una empresa líder en seguridad de contenedores, Red Hat es reconocida como Líder Global en esta Brújula de Liderazgo».
Con este anuncio, Red Hat continúa su marcha incesante de innovación para avanzar en la seguridad de los entornos de nube híbrida – desde on-premise hasta el multicloud y al edge – en todo el ciclo de vida de la tecnología y las soluciones de software.
Mejorar la seguridad de la cadena de suministro de software
Proteger las aplicaciones desde el desarrollo a lo largo de todo el ciclo de vida puede ser complejo y a menudo requiere que varios componentes trabajen juntos. Para ayudar a simplificar el proceso de implementación de funciones de seguridad a lo largo de todo el proceso de desarrollo, despliegue y ejecución, Red Hat está introduciendo un patrón de seguridad de la cadena de suministro de software.
Entregados a través de Red Hat OpenShift, los patrones proporcionan stacks completos como código y definen, desarrollan y prueban las configuraciones de software necesarias. El patrón de seguridad de la cadena de suministro de software, disponible como preview, reunirá los componentes necesarios para crear aplicaciones nativas de la nube a partir de componentes de confianza.
El patrón utiliza un pipeline nativo de KubernetesKubernetes (referido en inglés comúnmente como “K8s”) ... e integrado continuamente a través de Red Hat OpenShift Pipelines y Red Hat OpenShift GitOps para el control de versiones, lo que ayuda a reducir la complejidad y ahorrar tiempo. Además, a través de Tekton Chains, el patrón incorporará Sigstore, un proyecto de código abierto destinado a hacer más accesible la firma criptográfica del código. Esta incorporación facilita que los artefactos se firmen en el propio pipeline en lugar de hacerlo después de la creación de la aplicación.
Además, en Red Hat Ansible Automation Platform 2.2, Red Hat presenta un technical preview de la tecnología de firma de contenido de Ansible. La nueva funcionalidad ayuda a la seguridad de la cadena de suministro de software al permitir a los equipos de automatización validar que el contenido de automatización que se ejecuta en su empresa está verificado y es de confianza.
Mejora del ciclo de vida de la seguridad de las aplicaciones desde el centro de datosUn centro de datos o centro de procesamiento de datos (CPD) ... hasta el edge
A medida que las organizaciones adoptan arquitecturas nativas de la nube, se mantienen las necesidades básicas de la empresa de contar con entornos reforzados, superficies de ataque reducidas y una detección y respuesta más rápida a las amenazas. Las aplicaciones que se ejecutan fuera de los entornos de TI tradicionales, incluso en el edge, introducen requisitos de seguridad adicionales que agravan estos desafíos ya complejos.
Más allá de los requisitos de seguridad física de los dispositivos edge, los CIO y los responsables de la toma de decisiones de TI ven cada vez más la necesidad de proteger las cargas de trabajo de los contenedores que se ejecutan en estos dispositivos. Un ejemplo podría ser la implementación de estrategias y capacidades para prevenir el movimiento lateral de posibles ataques o brechas a través de los despliegues edge. Red Hat Advanced Cluster Security for Kubernetes ofrece una respuesta lista para el despliegue a estas preocupaciones, con capacidades clave para proteger las cargas de trabajo edge, incluyendo:
- DevSecOps automatizados en la canalización CI/CD para ayudar a proteger la cadena de suministro de software para los entornos de edge a través de la gestión de la vulnerabilidad, el análisis de la configuración de la aplicación y la integración CI/CD
- La protección contra las amenazas proporciona capacidades de detección de las mismas y respuesta a incidentes para las amenazas más comunes durante el tiempo de ejecución
- Segmentación de la red para imponer el aislamiento de la carga de trabajo, analizar la comunicación de los contenedores y detectar las rutas de comunicación de la red que presentan riesgos
La seguridad integrada comienza con el sistema operativo
Según el Board of Directors Survey de Gartner® de 2022, el 88% de los miembros de los consejos de administración clasificaron la ciberseguridadLas soluciones de ciberseguridad son esenciales en la era di... como un riesgo empresarial; sólo el 12% la calificó de riesgo tecnológico.[1] Las amplias ramificaciones de un ciberataque o una filtración de datos han llevado a un mayor escrutinio de los entornos de TI por parte de inversores y reguladores. Fortalecer los entornos de TI contra estos incidentes potencialmente dañinos es fundamental, y Red Hat cree que este esfuerzo comienza en la base, en el nivel del sistema operativo, con Red Hat Enterprise Linux.
Red Hat Enterprise Linux 9 sienta las bases para la verificación de la integridad en tiempo de ejecución del sistema operativo y de los archivos de las aplicaciones al proporcionar firmas digitales de archivos dentro de los paquetes RPM. La plataforma utiliza la arquitectura de medición de la integridad (IMA) a nivel del núcleo para verificar los archivos individuales y su procedencia. La verificación de archivos IMA ayuda específicamente a detectar modificaciones accidentales y malintencionadas en los sistemas, lo que proporciona más capacidades de corrección a los equipos de seguridad a la hora de abordar posibles problemas o infracciones.
Otras características clave de seguridad en Red Hat Enterprise Linux 9 son:
- Mejora de la seguridad en torno a los privilegios de root deshabilitando el inicio de sesión de root a través de SSH por defecto. Esto ayuda a prevenir el descubrimiento de contraseñas de root a través de ataques violentos y a mejorar las estrategias de seguridad básicas de un entorno operativo.
- Compatibilidad con los últimos marcos criptográficos con la integración de OpenSSL 3. Esto permite a los equipos de TI promulgar nuevos cifrados para cifrar y proteger la información sensible.
- Se han reforzado las prácticas recomendadas de seguridad al desactivar por defecto la función hash SHA-1, que se rompe criptográficamente, para la firma digital, con lo que se ha mejorado la higiene de la seguridad.
Además, Red Hat e IBM Research están colaborando en la ampliación de los aspectos básicos de seguridad del kernel de Linux, por ejemplo, mediante la compatibilidad con la firma y la verificación de las firmas digitales de curva elíptica. Este trabajo amplía los algoritmos admitidos y reduce el tamaño de las firmas digitales utilizadas en el núcleo de Linux.