Seguridad de contenedores: una guía esencial para proteger Kubernetes
El panorama moderno de ciberseguridad está inundado de nuevas amenazas. Las brechas son inevitables. No es una cuestión de si pero cuando serás violado.
Esto significa que no puede asumir que hay ningún entorno en su red que sea seguro contra las amenazas. Los contenedores son un objetivo cada vez más popular para los atacantes. Si bien son una poderosa herramienta DevOps, presentan desafíos de seguridad únicos, especialmente cuando se superponen en otras infraestructuras.
En este post, te explicaré por qué debes prestar atención a la seguridad de los contenedores y cómo Illumio puede ayudarte a asegurar tus entornos Kubernetes.
Los contenedores no son seguros de forma predeterminada
Contenedores normalmente son administrados por Kubernetes u OpenShift. Dada su naturaleza dinámica y de corta duración, muchos asumen que los entornos de Kubernetes son menos susceptibles a las amenazas. Esto simplemente no es cierto.
Los conceptos erróneos de seguridad sobre los contenedores son un reflejo de los primeros días de las máquinas virtuales, donde rápidamente se demostró que la misma suposición era errónea. Los contenedores enfrentan su propio conjunto de amenazas de seguridad al igual que cualquier otro entorno. Los atacantes violan los contenedores con objetivos familiares en mente, como ganancias financieras, espionaje de datos, interrupción de la infraestructura, criptominería e implementación de botnet para ataques DDoS.
Kubernetes enfrenta varios desafíos únicos para asegurar un cluster:

El riesgo de seguridad en torno a los contenedores se ha demostrado una y otra vez:
- Malware Siloscape, Hildegard y cr8escape utilizar una técnica llamada suplantación de hilo violar una red a través de contenedores. No se dirigen directamente al clúster de Kubernetes. En su lugar, utilizan el clúster para “escapar” hacia el nodo subyacente y ejecutar código malicioso desde allí. Esto puede interrumpir la infraestructura, lo que podría reducir todo el clúster de Kubernetes alojado desde abajo.
- Malware de Kingsking busca configuraciones erróneas comunes del servidor PostgreSQL en contenedores que utiliza para implementar pods adicionales para ejecutar código de criptomineria malicioso. Si bien este malware no extrae datos, utiliza los recursos del clúster de forma gratuita, lo que aumenta los costos del propietario.
- Ataques a la cadena de suministro como SolarWinds y CodeCov se infiltraron en clústeres de Kubernetes a través de repositorios de código externos que pasaron por encima de las medidas de seguridad tradicionales.
¿Cómo se propaga el malware en Kubernetes?
Todas las ciberamenazas tienen una cosa en común: quieren moverse. Los atacantes tienen como objetivo propagarse lateralmente a otros recursos una vez que ingresan al entorno, llegando finalmente a su objetivo.
El malware se propaga aprovechando el comportamiento humano o los puertos abiertos, sin importar el entorno.

Desafortunadamente, las personas son el eslabón más débil en ciberseguridad. Independientemente de su capacitación, los usuarios pueden hacer clic inadvertidamente en enlaces riesgosos, lo que permite que el malware ingrese a la red. Una vez dentro, el malware busca puertos abiertos para propagarse a otras cargas de trabajo.
Tradicionalmente, el malware utiliza puertos RDP, SSH o SMB abiertos para entregar cargas útiles a otras cargas de trabajo. De manera similar, los clústeres de Kubernetes a menudo tienen puertos abiertos utilizados por NodePort y Kubelet, lo que facilita que los atacantes se propaguen a través de las cargas de trabajo de Kubernetes.
Protección de Kubernetes: Combine la microsegmentación con la detección de amenazas
La industria de la ciberseguridad ha adoptado tradicionalmente un enfoque de detección y respuesta. Las herramientas de detección de amenazas monitorean las cargas de trabajo y las aplicaciones para detectar comportamientos inusuales. Si encuentran algo malicioso, los equipos de seguridad trabajan para erradicar la amenaza.
Pero no importa cuán rápidas sean estas herramientas de detección, las amenazas actuales pueden propagarse más rápido. Peor aún, una vez que se ha detectado una brecha, es probable que ya se haya propagado por el entorno. Las organizaciones no pueden esperar que las herramientas de detección sean 100% efectivas.
Sabemos que las brechas se extienden entre cargas de trabajo a través de puertos abiertos. Esto significa que no necesitamos entender la intención de una amenaza para evitar que se propague. Es mucho más efectivo monitorear y hacer cumplir primero los segmentos.
Al restringir la comunicación entre cargas de trabajo, evita que las amenazas se propaguen independientemente de su intención. Y le da tiempo a su herramienta de detección para identificar la amenaza.
Por ejemplo, si alguien está tratando de derribar la puerta de tu casa, primero no le preguntas si es un criminal y luego decides cerrar tu puerta o no. Primero cierras la puerta y luego haces preguntas.
Segmentación es fundamental para cualquier arquitectura de seguridad. En lugar de perder el tiempo determinando el propósito de una amenaza, bloquee su ruta de inmediato. Esto contiene la brecha y evita que se extienda aún más en la red.
El enfoque de Illumino para contener las brechas en Kubernetes
Illumio asume que eventualmente se producirá una violación en cualquier entorno, incluido Kubernetes. Hay varias maneras en que la plataforma Illumio soporta la seguridad de Kubernetes.
Construir microsegmentación proactiva
Al hacer cumplir microsegmentación en todas las cargas de trabajo, Illumio contiene brechas en su punto de entrada, lo que impide que se propaguen por toda la red. Esto significa que las organizaciones pueden sobrevivir a una brecha activa sin afectar sus operaciones.
Automatice la detección y la contención con integraciones de terceros
Illumio también se integra con plataformas de detección de terceros como para automatizar el proceso de detección y contención de amenazas.
Si el malware de día cero está utilizando un puerto que Illumio está permitiendo, estas integraciones compartirán esto con la plataforma Illumio. En respuesta, Illumio aplicará automáticamente la política de seguridad para cerrar brechas de seguridad y reducir el riesgo antes de que los actores malintencionados puedan explotarlas.
Esto significa que puede implementar controles de segmentación granulares basados en inteligencia de amenazas en tiempo real, lo que reduce la superficie de ataque y contiene automáticamente las brechas.
Simplifique Kubernetes DevSecOps
Operaciones de seguridad en Kubernetes requieren que la política de seguridad sea parte de los flujos de trabajo de automatización utilizados durante los ciclos de desarrollo en contenedores.
Con Illumio, puede obtener visibilidad de Kubernetes y aplicación de la carga de trabajo dentro del mismo flujo de trabajo global utilizado en todos los entornos.
Contener brechas en Kubernetes con Illumio
Los atacantes quieren propagarse por todas partes, incluso en Kubernetes. Y si no puedes evitar que se propaguen, tu organización podría ser el titular de las noticias de mañana.
Illumio puede mantenerlo fuera de las noticias al ayudarlo a contener las brechas, reducir el riesgo y desarrollar resiliencia. Mapear el tráfico y contener las brechas en toda su multinube híbrida, dentro y fuera de Kubernetes.
Contáctanos hoy para aprender cómo Illumio puede contener brechas en sus entornos de contenedores.