El G2 sobre Seguridad en la Nube: Conquistando la Seguridad de Contenedores

Los contenedores, una alternativa ligera a las máquinas virtuales, son algunas de las tecnologías en la nube más utilizadas hoy en día, asociadas con DevOps y el desarrollo ágil de software. Gran parte del entusiasmo detrás de la contenedorización se puede atribuir a su agilidad, flexibilidad y seguridad.

Aún así, los contenedores presentan preocupaciones sustanciales de seguridad y vulnerabilidades en muchas aplicaciones. Afortunadamente, las herramientas de seguridad de contenedores están ganando popularidad y ayudando a los profesionales de seguridad a abordar el problema.

DevOps impulsa el aumento en el uso de contenedores

DevOps es un enfoque para el desarrollo de software basado en la producción a alta velocidad, la comunicación constante y la innovación rápida. Aunque muchos equipos de DevOps utilizan diversas tecnologías, los contenedores son uno de los mercados tecnológicos clave que permiten la expansión de DevOps.

Los contenedores son una forma de aislar y empaquetar código, datos y archivos en una unidad flexible y segura, aislada de recursos. Facilitan a los desarrolladores empaquetar, enviar y extraer código a medida que añaden y actualizan funcionalidades a sus aplicaciones DevOps.

Muchas empresas, desde AWS hasta Tesla, están adoptando la tecnología de contenedores. Los contenedores Docker, la segunda plataforma de gestión de contenedores más revisada en G2, han sido descargados más de 100 mil millones de veces, tienen aproximadamente 750 clientes empresariales y alimentan casi 6 millones de aplicaciones. Impresionantemente, Docker ha mantenido su rápido crecimiento a pesar de que gigantes tecnológicos como AWS, IBM, Google y Microsoft han entrado en el mercado.

Docker ha ganado rápidamente tracción porque son increíblemente escalables, fáciles de crear, lógicos de gestionar y proporcionan una forma flexible de soportar redes definidas por software. Se ha convertido en un estándar para los equipos de DevOps, obteniendo amplios elogios en G2. A partir del 6 de septiembre de 2019, el producto tiene reseñas de casi 200 individuos, 192 de los cuales calificaron el producto con 4.0 o 5.0 estrellas.

Preocupaciones de seguridad de contenedores no abordadas

Los contenedores aún tienen importantes preocupaciones de seguridad que pueden estar poniendo en riesgo a su empresa y a sus clientes.

A principios de este año, Tripwire realizó una encuesta que entrevistó a más de 300 profesionales de seguridad que gestionan contenedores en empresas medianas y grandes. Según los resultados de la encuesta, el 94% de los encuestados tenía preocupaciones sobre los contenedores.

Gamblin lanzó VulnerableContainers.org a principios de este verano; el sitio proporciona información relacionada con los 1,000 contenedores más populares de Docker Hub. Gamblin ejecutó cada contenedor a través de un escáner de vulnerabilidades y publicó sus hallazgos en línea. Los contenedores con más vulnerabilidades estaban relacionados con Node.js, DynamoDB y Rancher. Cada contenedor tenía millones de descargas y más de 1,100 vulnerabilidades abiertas.

Casi todos dijeron que quieren herramientas de seguridad adicionales, y casi la mitad está limitando la producción de contenedores debido a preocupaciones de seguridad. Una serie de problemas podría causar estos riesgos de seguridad.

Los equipos y desarrolladores individuales tienen el mayor control sobre las vulnerabilidades relacionadas con los componentes internos del contenedor. Estas vulnerabilidades son típicamente el resultado de etiquetado interno, paquetes y bibliotecas. Un pequeño problema, como una etiqueta de imagen mal etiquetada, puede exponer una aplicación a cientos de vulnerabilidades.

Las vulnerabilidades de terceros son otra gran preocupación. Estas pueden ser descubiertas utilizando escáneres de vulnerabilidades, herramientas de monitoreo y otras soluciones de análisis de riesgos de seguridad. También se pueden evitar solo extrayendo imágenes verificadas, requiriendo verificación de firma de imagen y aplicando un control de acceso estricto.

El componente más importante a proteger es su núcleo anfitrión, ya que los contenedores se ejecutan en ellos. En su mayor parte, el contenedor suele ser seguro y aislado, a menos que esté mal diseñado o sea manipulado por actores internos. Sin embargo, un sistema anfitrión comprometido hará que las salvaguardas nativas sean inútiles.

El futuro de la seguridad de contenedores

Las tecnologías emergentes apuntan a abordar algunos problemas comunes de seguridad asociados con la contenedorización. A continuación se presentan algunos ejemplos de proveedores de software innovadores que esperan capitalizar el problema urgente de las vulnerabilidades relacionadas con contenedores no resueltas.

Identidades de aplicaciones impulsando la seguridad en la nube de confianza cero

Aporeto, una startup de seguridad nativa de la nube, está cambiando la forma en que los equipos ven la protección de contenedores en la nube. En lugar de enfoques tradicionales basados en direcciones IP, su producto más reciente permite la aplicación de políticas de seguridad distribuidas a nivel de aplicación. Está diseñado para proteger implementaciones de Kubernetes de múltiples clústeres con identidades y políticas individuales para cada aplicación o carga de trabajo.

Las tecnologías tradicionales de seguridad en la nube, por otro lado, dependen de las direcciones IP para determinar las solicitudes de conexión de red aprobadas y no aprobadas. Aunque este enfoque puede aumentar el tiempo dedicado a gestionar y configurar cortafuegos individuales, dependiendo del alcance y la escala de sus aplicaciones dispares, reduciría drásticamente cualquier tiempo dedicado a gestionar listas de control de acceso IP.

Aprendizaje automático e IA para la autoprotección de contenedores

A principios de agosto, Sysdig anunció nuevas funcionalidades de producto que permiten la detección de anomalías basada en aprendizaje automático y la creación de perfiles de tiempo de ejecución en sistemas empresariales de Kubernetes. La herramienta ayuda a los equipos de DevOps y seguridad a automatizar la configuración de políticas de seguridad a partir de algoritmos de aprendizaje automático que procesan actividades del sistema de archivos, comportamientos de red y llamadas al sistema.

Además, la herramienta permite el escaneo automatizado de vulnerabilidades para la evaluación continua de aplicaciones, contenedores e imágenes de registro. Estas capacidades evitan que los equipos de DevOps pongan en producción imágenes que contienen vulnerabilidades conocidas, como las enumeradas en VulnerableContainers.org.

Monolitos de TI consumiendo startups de seguridad de contenedores

Si bien algunas empresas pueden no ser tan innovadoras con sus productos heredados, los proveedores de seguridad de larga data están comprando startups de seguridad de contenedores de vanguardia. En mayo, Palo Alto Networks compró la startup de seguridad de contenedores Twistlock por 410 millones de dólares. La adquisición de Red Hat por 34 mil millones de dólares de IBM en julio parece haber producido una nueva familia de soluciones diseñadas para la gestión, monitoreo y seguridad de contenedores.

Más recientemente, McAfee anunció su adquisición de NanoSec, una solución de protección de cargas de trabajo de aplicaciones. McAfee dijo que planea utilizar la tecnología subyacente de NanoSec para simplificar la configuración de políticas y el control de acceso a la red dentro de sus productos MVISION Cloud.

Afortunadamente, se espera que el joven mercado de seguridad de contenedores crezca de 1.5 mil millones a más de 6 mil millones de dólares en los próximos cinco años, según Grand View Research. Esperemos que esta afluencia de dinero produzca un mercado dinámico e innovador de soluciones para abordar otro problema emergente de seguridad para el mundo en evolución de las aplicaciones en la nube.