O G2 sobre Segurança na Nuvem: Conquistando a Segurança de Contêineres

Containers — uma alternativa leve às VMs — são algumas das tecnologias de nuvem mais amplamente utilizadas associadas ao DevOps e ao desenvolvimento ágil de software hoje. Muito do hype em torno da containerização pode ser atribuído à sua agilidade, flexibilidade e segurança.

Ainda assim, os containers apresentam preocupações substanciais de segurança e vulnerabilidades em muitas aplicações. Felizmente, as ferramentas de segurança de containers estão ganhando popularidade e ajudando os profissionais de segurança a enfrentar o problema.

DevOps impulsiona aumento no uso de containers

DevOps é uma abordagem ao desenvolvimento de software enraizada na produção em alta velocidade, comunicação constante e inovação rápida. Embora muitas tecnologias sejam usadas por equipes de DevOps, os containers são um dos principais mercados de tecnologia que possibilitam a expansão do DevOps.

Containers são uma forma de isolar e empacotar código, dados e arquivos em uma unidade flexível e segura, isolada de recursos. Eles facilitam para os desenvolvedores empacotar, enviar e puxar código à medida que adicionam e atualizam funcionalidades em suas aplicações DevOps.

Muitas empresas, de AWS a Tesla, estão adotando a tecnologia de containers. Containers Docker — a segunda plataforma de gerenciamento de containers mais avaliada no G2 — foram baixados mais de 100 bilhões de vezes, têm aproximadamente 750 clientes empresariais e alimentam quase 6 milhões de aplicativos. Impressionantemente, o Docker manteve seu rápido crescimento apesar de gigantes da tecnologia como AWS, IBM, Google e Microsoft entrarem no mercado.

"[Docker é uma] ferramenta indispensável no mundo do DevOps e administração de sistemas," Jennifer A, uma engenheira de desenvolvimento, disse sobre a ferramenta.

O Docker rapidamente ganhou tração porque é incrivelmente escalável, fácil de criar, lógico de gerenciar e fornece uma maneira flexível de suportar redes definidas por software. Tornou-se um padrão para equipes de DevOps, recebendo amplos elogios no G2. Em 6 de setembro de 2019, o produto tinha avaliações de quase 200 indivíduos, 192 dos quais avaliaram o produto com 4.0 ou 5.0 estrelas.

Preocupações de segurança de containers não resolvidas

Containers ainda têm grandes preocupações de segurança que podem estar colocando sua empresa e clientes em risco.

No início deste ano, a Tripwire conduziu uma pesquisa que entrevistou mais de 300 profissionais de segurança que gerenciam containers em empresas de médio e grande porte. De acordo com os resultados da pesquisa, 94% dos entrevistados tinham preocupações com containers.

"Mais de 60% dos principais arquivos Docker continham uma vulnerabilidade que tinha uma [pontuação de risco] acima de 330, e mais de 20% dos arquivos continham pelo menos uma vulnerabilidade que seria considerada de alto risco sob o modelo de pontuação da Kenna e deveria ser abordada o mais rápido possível," disse Jerry Gamblin, um pesquisador da Kenna Security.

Gamblin lançou o VulnerableContainers.org no início deste verão; o site fornece informações relacionadas aos 1.000 containers mais populares do Docker Hub. Gamblin executou cada container através de um scanner de vulnerabilidades e postou suas descobertas online. Os containers com mais vulnerabilidades estavam relacionados ao Node.js, DynamoDB e Rancher. Cada container tinha milhões de downloads e mais de 1.100 vulnerabilidades abertas.

Quase todos disseram que querem ferramentas de segurança adicionais, e quase metade está limitando a produção de containers devido a preocupações de segurança. Vários problemas podem causar esses riscos de segurança.

Equipes e desenvolvedores individuais têm o maior controle sobre vulnerabilidades relacionadas aos componentes internos do container. Essas vulnerabilidades são tipicamente o resultado de marcações internas, pacotes e bibliotecas. Um pequeno problema, como uma tag de imagem mal rotulada, pode expor uma aplicação a centenas de vulnerabilidades.

Vulnerabilidades de terceiros são outra grande preocupação. Elas podem ser descobertas usando scanners de vulnerabilidades, ferramentas de monitoramento e outras soluções de análise de risco de segurança. Elas também podem ser evitadas puxando apenas imagens verificadas, exigindo verificação de assinatura de imagem e impondo controle de acesso rigoroso.

O componente mais importante a proteger é o seu kernel host, já que os containers rodam neles. Na maioria das vezes, o container é geralmente seguro e isolado, a menos que seja mal projetado ou adulterado por atores internos. No entanto, um sistema host comprometido tornará inúteis as salvaguardas nativas.

O futuro da segurança de containers

Tecnologias emergentes visam resolver alguns problemas comuns de segurança associados à containerização. Abaixo estão alguns exemplos de fornecedores de software inovadores que esperam capitalizar sobre a questão premente de vulnerabilidades relacionadas a containers não resolvidas.

Identidades de aplicação impulsionando a segurança de nuvem de confiança zero

Aporeto, uma startup de segurança nativa da nuvem, está mudando a forma como as equipes olham para a proteção de containers na nuvem. Em vez de abordagens tradicionais baseadas em endereços IP, seu produto mais recente permite a aplicação de políticas de segurança distribuídas no nível da aplicação. Ele é projetado para proteger implantações de Kubernetes multi-cluster com identidades e políticas individuais para cada aplicação ou carga de trabalho.

Tecnologias tradicionais de segurança de nuvem, por outro lado, dependem de endereços IP para determinar solicitações de conexão de rede aprovadas e não aprovadas. Embora essa abordagem possa aumentar o tempo gasto gerenciando e configurando firewalls individuais, dependendo do alcance e escala de suas aplicações díspares, reduziria drasticamente qualquer tempo gasto gerenciando listas de controle de acesso IP.

Aprendizado de máquina e IA para autoproteção de containers

No início de agosto, a Sysdig anunciou novas funcionalidades de produto que permitem a detecção de anomalias baseada em aprendizado de máquina e perfis de tempo de execução em sistemas Kubernetes empresariais. A ferramenta ajuda as equipes de DevOps e segurança a automatizar a configuração de políticas de segurança a partir de algoritmos de aprendizado de máquina que processam atividades do sistema de arquivos, comportamentos de rede e chamadas de sistema.

Além disso, a ferramenta permite a varredura automática de vulnerabilidades para avaliação contínua de aplicações, containers e imagens de registro. Essas capacidades impedem que as equipes de DevOps coloquem em produção imagens contendo vulnerabilidades conhecidas, como aquelas listadas no VulnerableContainers.org.

Monólitos de TI consumindo startups de segurança de containers

Embora algumas empresas possam não ser tão inovadoras com seus produtos legados, fornecedores de segurança de longa data estão comprando startups de segurança de containers de ponta. Em maio, a Palo Alto Networks comprou a startup de segurança de containers Twistlock por $410 milhões. A aquisição de $34 bilhões da IBM da Red Hat em julho parece ter produzido uma nova família de soluções projetadas para gerenciamento, monitoramento e segurança de containers.

Mais recentemente, a McAfee anunciou sua aquisição da NanoSec, uma solução de proteção de carga de trabalho de aplicação. A McAfee disse que planeja utilizar a tecnologia subjacente da NanoSec para simplificar a configuração de políticas e o controle de acesso à rede dentro de seus produtos MVISION Cloud.

Felizmente, espera-se que o jovem mercado de segurança de containers cresça de $1,5 bilhão para mais de $6 bilhões nos próximos cinco anos, de acordo com a Grand View Research. Esperemos que esse influxo de dinheiro produza um mercado dinâmico e inovador de soluções para enfrentar mais uma questão emergente de segurança para o mundo em evolução das aplicações em nuvem.