Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Segmentación de confianza cero

Seguridad de contenedores: una guía esencial para proteger Kubernetes

Christer Swartz
,
Director de Mercadotecnia de Soluciones
November 4, 2024
23 min. lectura

El panorama moderno de ciberseguridad está inundado de nuevas amenazas. Las brechas son inevitables. No es una cuestión de si pero cuando serás violado.

Esto significa que no puede asumir que hay ningún entorno en su red que sea seguro contra las amenazas. Los contenedores son un objetivo cada vez más popular para los atacantes. Si bien son una poderosa herramienta DevOps, presentan desafíos de seguridad únicos, especialmente cuando se superponen en otras infraestructuras.

En este post, te explicaré por qué debes prestar atención a la seguridad de los contenedores y cómo Illumio puede ayudarte a asegurar tus entornos Kubernetes.

Los contenedores no son seguros de forma predeterminada

Contenedores normalmente son administrados por Kubernetes u OpenShift. Dada su naturaleza dinámica y de corta duración, muchos asumen que los entornos de Kubernetes son menos susceptibles a las amenazas. Esto simplemente no es cierto.

Los conceptos erróneos de seguridad sobre los contenedores son un reflejo de los primeros días de las máquinas virtuales, donde rápidamente se demostró que la misma suposición era errónea. Los contenedores enfrentan su propio conjunto de amenazas de seguridad al igual que cualquier otro entorno. Los atacantes violan los contenedores con objetivos familiares en mente, como ganancias financieras, espionaje de datos, interrupción de la infraestructura, criptominería e implementación de botnet para ataques DDoS.

Kubernetes enfrenta varios desafíos únicos para asegurar un cluster:

Network security challenges with Kubernetes at runtime
Kubernetes tiene muchos riesgos si su seguridad no se aborda de manera proactiva.

El riesgo de seguridad en torno a los contenedores se ha demostrado una y otra vez:

  • Malware Siloscape, Hildegard y cr8escape utilizar una técnica llamada suplantación de hilo violar una red a través de contenedores. No se dirigen directamente al clúster de Kubernetes. En su lugar, utilizan el clúster para “escapar” hacia el nodo subyacente y ejecutar código malicioso desde allí. Esto puede interrumpir la infraestructura, lo que podría reducir todo el clúster de Kubernetes alojado desde abajo.
  • Malware de Kingsking busca configuraciones erróneas comunes del servidor PostgreSQL en contenedores que utiliza para implementar pods adicionales para ejecutar código de criptomineria malicioso. Si bien este malware no extrae datos, utiliza los recursos del clúster de forma gratuita, lo que aumenta los costos del propietario.
  • Ataques a la cadena de suministro como SolarWinds y CodeCov se infiltraron en clústeres de Kubernetes a través de repositorios de código externos que pasaron por encima de las medidas de seguridad tradicionales.

¿Cómo se propaga el malware en Kubernetes?

Todas las ciberamenazas tienen una cosa en común: quieren moverse. Los atacantes tienen como objetivo propagarse lateralmente a otros recursos una vez que ingresan al entorno, llegando finalmente a su objetivo.

El malware se propaga aprovechando el comportamiento humano o los puertos abiertos, sin importar el entorno.

DevSecOps challenges with Kubernetes at runtime
Todo el malware quiere moverse, y todos se mueven de la misma manera.

Desafortunadamente, las personas son el eslabón más débil en ciberseguridad. Independientemente de su capacitación, los usuarios pueden hacer clic inadvertidamente en enlaces riesgosos, lo que permite que el malware ingrese a la red. Una vez dentro, el malware busca puertos abiertos para propagarse a otras cargas de trabajo.

Tradicionalmente, el malware utiliza puertos RDP, SSH o SMB abiertos para entregar cargas útiles a otras cargas de trabajo. De manera similar, los clústeres de Kubernetes a menudo tienen puertos abiertos utilizados por NodePort y Kubelet, lo que facilita que los atacantes se propaguen a través de las cargas de trabajo de Kubernetes.

Protección de Kubernetes: Combine la microsegmentación con la detección de amenazas

La industria de la ciberseguridad ha adoptado tradicionalmente un enfoque de detección y respuesta. Las herramientas de detección de amenazas monitorean las cargas de trabajo y las aplicaciones para detectar comportamientos inusuales. Si encuentran algo malicioso, los equipos de seguridad trabajan para erradicar la amenaza.

Pero no importa cuán rápidas sean estas herramientas de detección, las amenazas actuales pueden propagarse más rápido. Peor aún, una vez que se ha detectado una brecha, es probable que ya se haya propagado por el entorno. Las organizaciones no pueden esperar que las herramientas de detección sean 100% efectivas.

Sabemos que las brechas se extienden entre cargas de trabajo a través de puertos abiertos. Esto significa que no necesitamos entender la intención de una amenaza para evitar que se propague. Es mucho más efectivo monitorear y hacer cumplir primero los segmentos.

Al restringir la comunicación entre cargas de trabajo, evita que las amenazas se propaguen independientemente de su intención. Y le da tiempo a su herramienta de detección para identificar la amenaza.

Por ejemplo, si alguien está tratando de derribar la puerta de tu casa, primero no le preguntas si es un criminal y luego decides cerrar tu puerta o no. Primero cierras la puerta y luego haces preguntas.

Segmentación es fundamental para cualquier arquitectura de seguridad. En lugar de perder el tiempo determinando el propósito de una amenaza, bloquee su ruta de inmediato. Esto contiene la brecha y evita que se extienda aún más en la red.

El enfoque de Illumino para contener las brechas en Kubernetes

Illumio asume que eventualmente se producirá una violación en cualquier entorno, incluido Kubernetes. Hay varias maneras en que la plataforma Illumio soporta la seguridad de Kubernetes.

Construir microsegmentación proactiva

Al hacer cumplir microsegmentación en todas las cargas de trabajo, Illumio contiene brechas en su punto de entrada, lo que impide que se propaguen por toda la red. Esto significa que las organizaciones pueden sobrevivir a una brecha activa sin afectar sus operaciones.

Automatice la detección y la contención con integraciones de terceros

Illumio también se integra con plataformas de detección de terceros como para automatizar el proceso de detección y contención de amenazas.

Si el malware de día cero está utilizando un puerto que Illumio está permitiendo, estas integraciones compartirán esto con la plataforma Illumio. En respuesta, Illumio aplicará automáticamente la política de seguridad para cerrar brechas de seguridad y reducir el riesgo antes de que los actores malintencionados puedan explotarlas.

Esto significa que puede implementar controles de segmentación granulares basados en inteligencia de amenazas en tiempo real, lo que reduce la superficie de ataque y contiene automáticamente las brechas.

Simplifique Kubernetes DevSecOps

Operaciones de seguridad en Kubernetes requieren que la política de seguridad sea parte de los flujos de trabajo de automatización utilizados durante los ciclos de desarrollo en contenedores.

Con Illumio, puede obtener visibilidad de Kubernetes y aplicación de la carga de trabajo dentro del mismo flujo de trabajo global utilizado en todos los entornos.

Contener brechas en Kubernetes con Illumio

Los atacantes quieren propagarse por todas partes, incluso en Kubernetes. Y si no puedes evitar que se propaguen, tu organización podría ser el titular de las noticias de mañana.

Illumio puede mantenerlo fuera de las noticias al ayudarlo a contener las brechas, reducir el riesgo y desarrollar resiliencia. Mapear el tráfico y contener las brechas en toda su multinube híbrida, dentro y fuera de Kubernetes.

Contáctanos hoy para aprender cómo Illumio puede contener brechas en sus entornos de contenedores.

Temas relacionados

No se han encontrado artículos.

Artículos relacionados

Guía del arquitecto para implementar la microsegmentación: cinco lugares para “apoyarse”
Segmentación de confianza cero

Guía del arquitecto para implementar la microsegmentación: cinco lugares para “apoyarse”

En Illumio, hemos visto que algunas de las implementaciones de microsegmentación más exitosas son el resultado de tener una imagen clara de las consideraciones de diseño, el proceso y el equipo requerido por adelantado.

Leer más
4 cosas que necesita saber sobre Illumio en la Conferencia RSA 2023
Segmentación de confianza cero

4 cosas que necesita saber sobre Illumio en la Conferencia RSA 2023

Únase a Illumio en San Francisco para la Conferencia RSA 2023 del 24 al 27 de abril.

Leer más
Sean Connelly comparte cómo Zero Trust modernizó la ciberseguridad federal
Segmentación de confianza cero

Sean Connelly comparte cómo Zero Trust modernizó la ciberseguridad federal

Obtenga información sobre los cambios transformadores en la ciberseguridad federal, la evolución de los perímetros de red y consejos prácticos para cualquiera que se embarque en un viaje de confianza cero.

Leer más
Cómo Illumio construye seguridad cohesiva para contenedores
Segmentación de confianza cero

Cómo Illumio construye seguridad cohesiva para contenedores

Descubra cómo Illumio aplica las políticas de seguridad y ofrece visibilidad completa dentro de todos los entornos, todo en una sola plataforma.

Leer más
Cómo resolver los 3 principales desafíos de asegurar contenedores y entornos Kubernetes
Segmentación de confianza cero

Cómo resolver los 3 principales desafíos de asegurar contenedores y entornos Kubernetes

Aprenda a implementar seguridad consistente pero flexible en contenedores y entornos Kubernetes en constante cambio.

Leer más
Kubernetes no es inmune al ransomware y cómo Illumio puede ayudar
Contención de Ransomware

Kubernetes no es inmune al ransomware y cómo Illumio puede ayudar

Descubra por qué el ransomware es un riesgo de ciberseguridad muy real en Kubernetes que los arquitectos de DevSecOps no pueden darse el lujo de ignorar.

Leer más

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información