Como a Illumio fecha as lacunas de visibilidade em ambientes de contêineres
“Crie uma vez, execute em qualquer lugar.” É isso que torna os contêineres tão bons. Com recursos como automação, ferramentas baseadas em nuvem e a capacidade de escalar recursos com facilidade, os contêineres se tornaram os favoritos dos desenvolvedores.
Mas os contêineres têm um grande problema: falta de visibilidade.
Sem visibilidade granular em toda a rede, as equipes de segurança podem, sem querer, deixar lacunas nos ambientes de contêineres. Essas lacunas levaram a um grande aumento nas violações de segurança de contêineres.
Nesta postagem do blog, mostraremos como obter visibilidade completa em sua rede para proteger contêineres como parte de uma arquitetura de segurança consistente e de ponta a ponta.
Contentores vai ser violado
Contentores são projetados para serem temporários. Por muito tempo, as pessoas pensaram que isso as tornava automaticamente seguras. A ideia era que, se algo não dura muito tempo, é mais difícil hackear.
Mas malwares como Siloscape, Hildegard, Kingsging e cr8escape descobriram como usar contêineres para invadir redes. Para impedir isso, a maioria das ferramentas de segurança de contêineres se concentra na detecção de ameaças. Eles procuram contêineres que foram comprometidos e removem qualquer malware que descobrem.
Detectar ameaças é importante. Infelizmente, essas ferramentas geralmente se concentram apenas em contêineres e não consideram outros recursos fora do cluster de contêineres. Isso cria sistemas isolados com grandes pontos cegos, o que pode tornar mais difícil e lenta a resposta às violações de segurança.
Os aplicativos executados em um cluster Kubernetes ou OpenShift precisam ser acessados de fora do cluster. Para proteger totalmente os contêineres, você precisa ver o que está acontecendo dentro deles e fora do cluster e defina políticas de segurança consistentes em todo o sistema.
Os contêineres são tão seguros quanto sua visibilidade
Os contêineres são um sonho de DevOps, mas podem ser um pesadelo para todos, especialmente quando se trata de segurança.
As equipes de DevOps gostam de contêineres porque eles agilizam o desenvolvimento de aplicativos. Em ambientes de contêiner, o DevOps gerencia a infraestrutura subjacente que automatiza todo o processo do aplicativo. Isso reduz o trabalho manual e evita atrasos causados por outras equipes, como administradores de sistemas, segurança e redes.
As equipes de DevOps sabem que a segurança é importante, mas geralmente a deixam de fora de seus fluxos de trabalho iniciais de automação porque veem isso como uma desaceleração do desenvolvimento. Quando procuram ferramentas de segurança, geralmente escolhem aquelas que são feitas apenas para contêineres.
Por que isso é um problema? As ferramentas projetadas apenas para contêineres se concentram em recursos de contêineres individuais. Eles coletam dados sobre como os processos funcionam e como os recursos estão sendo usados, mas nem sempre oferecem uma visão clara de como os contêineres interagem uns com os outros.
Essas ferramentas podem mostrar conexões entre pods, serviços ou namespaces. Mas muitas vezes há pontos cegos, como:
- Tráfego entre os nós que executam o cluster Kubernetes ou OpenShift
- Tráfego desses nós para sistemas fora do cluster
- Tráfego de saída de cargas de trabalho dentro do cluster para cargas de trabalho fora dele
As ferramentas de segurança específicas do contêiner podem ver o tráfego se movendo de um namespace para outro em um cluster. Mas e quanto ao tráfego que vai de um namespace para um endpoint? Ou de um namespace para uma máquina virtual (VM) ou mainframe em um data center que não usa contêineres?
Em termos simples, você não pode proteger o que não pode ver. Se você não tem visibilidade de seus contêineres, está criando grandes pontos cegos em sua rede que os invasores podem explorar.

Obtenha visibilidade total dentro e fora de um cluster com o Illumio
A Illumio presume que, por mais forte que seja uma solução de segurança de contêineres, ela nunca será 100% perfeita. As violações estão prestes a acontecer.
Fora dos contêineres, o Plataforma Illumio Zero Trust Segmentation (ZTS) fornece visibilidade completa sobre como todos os hosts e aplicativos se conectam. O Illumio evita que violações se espalhem pela sua rede, protegendo todas as cargas de trabalho, mesmo que uma ameaça não tenha sido detectada.
Essa mesma proteção também é aplicada aos clusters Kubernetes ou OpenShift.
O Illumio descobre todo o tráfego entre todos os recursos de contêineres. Ele exibe todo o tráfego em toda a infraestrutura, incluindo contêineres, em uma visão consistente.
Os monitores Illumio permitiam o tráfego entre todos os recursos, dentro e fora de um cluster. Ele pode detectar um comportamento incomum e responder imediatamente, sem precisar descobrir o que a ameaça está tentando fazer. Isso elimina silos em toda a sua rede.

Três maneiras pelas quais o Illumio fornece visibilidade de contêineres
O Illumio oferece três maneiras de ver o que está acontecendo dentro e fora dos clusters Kubernetes ou OpenShift.

1. Veja todo o tráfego de, para e entre os nós subjacentes
O Illumio descobre todo o tráfego entre os nós subjacentes e desses nós para cargas de trabalho externas.
Os clusters de contêineres nunca existem sozinhos. Eles estão sempre hospedados em um host subjacente chamado node. Os nós são as VMs subjacentes ou os hosts bare-metal nos quais os clusters Kubernetes ou OpenShift são executados.
Os clusters de contêineres geralmente são tratados como uma ilha. Todo comportamento relevante fica contido nesse cluster e o mundo exterior é uma reflexão tardia. Isso pode causar problemas quando ocorre uma violação ou falta de visibilidade.
As ferramentas de segurança criadas para clusters Kubernetes ou OpenShift geralmente têm pouca ou nenhuma visão sobre o comportamento e o tráfego entre os nós subjacentes ou as conexões dos nós com outros recursos fora do cluster.
O Illumio resolve isso removendo esses pontos cegos, oferecendo visibilidade de tudo o que acontece dentro e fora do cluster.
2. Veja o tráfego de saída dos pods para servidores externos
O Illumio permite a visibilidade do tráfego de saída, incluindo o comportamento da rede, desde recursos dentro de um cluster até cargas de trabalho fora dele.
As ferramentas de segurança criadas para clusters Kubernetes ou OpenShift geralmente carecem de informações sobre recursos que não são contêineres, como aqueles em ambientes de nuvem, data centers ou terminais.
O Illumio oferece visibilidade em todos os três ambientes. Por exemplo, ele pode rastrear o tráfego de um endpoint para um data center e depois para um namespace dentro de um cluster Kubernetes.
Com o Illumio, você ganha visibilidade em todo o seu sistema. Isso ajuda você a criar políticas de segurança consistentes e orientadas por metadados para cada ambiente.
3. Veja a comunicação entre clusters
O Illumio fornece visibilidade de como os clusters Kubernetes ou OpenShift se comunicam entre si.
Todos os clusters de contêineres têm uma coisa em comum: eles crescem rapidamente. À medida que um cluster se expande com mais recursos, novos clusters geralmente são criados para distribuir recursos em vários clusters e melhorar a eficiência.
Quando os clusters crescem, você precisa de um solução de segurança de contêineres que podem detectar e controlar o tráfego entre clusters e, ao mesmo tempo, manter a visibilidade, independentemente do tamanho do sistema. O Illumio possibilita ver o tráfego entre clusters e entre clusters e cargas de trabalho fora deles.
O Illumio não substitui necessariamente as ferramentas de segurança específicas de contêineres. Por exemplo, se uma malha de serviços for usada dentro de um cluster, a Illumio se concentra em monitorar e controlar dependências fora do cluster, nos nós que hospedam o cluster e no tráfego entre o cluster e as cargas de trabalho externas.
A Illumio trabalha com soluções de segurança específicas para contêineres para fornecer visibilidade total de todos os recursos que hospedam e acessam cargas de trabalho de contêineres. Ele oferece proteção de ponta a ponta.
Illumio conclui o Zero Trust para contêineres
Os riscos de segurança não estão apenas fora de seus contêineres — eles também estão dentro. Para manter sua rede segura, você precisa ver e gerenciar ameaças dentro de clusters de contêineres, assim como você faz com cargas de trabalho antigas.
O Illumio ajuda você a ver e aplicar todo o comportamento do tráfego entre todas as cargas de trabalho em toda a infraestrutura, incluindo contêineres. Isso elimina as ilhas de visibilidade e impede que violações inevitáveis se espalhem pela sua rede.
Entre em contato conosco hoje para saber mais sobre como obter visibilidade em seus contêineres com o Illumio.