Si el uso y protagonismo de los contenedores está recibiendo continuos comentarios, no cabe duda de que la seguridad de los Kubernetes es un reto que hay que abordar.
Esta plataforma de orquestación de código abierto, de hecho, está experimentando un crecimiento considerable, convirtiéndose en unos años en una de las soluciones tecnológicas más importantes.
Sin embargo, existe un problema fundamental, que de alguna manera reproduce un guion ya visto en muchos otros contextos. La explosiva tasa de adopción no va acompañada de tantas precauciones de seguridad.
Índice de temas
La seguridad de los Kubernetes
Entre las empresas más activas a la hora de seguir el desarrollo de esta plataforma se encuentra, sin duda, Red Hat que, en su reciente informe ‘El estado de la seguridad de Kubernetes en 2023’, muestra cifras que no son precisamente tranquilizadoras.
Entre las destacadas, descubrimos que el 38% de los operadores considera inadecuadas las inversiones en seguridad de contenedores y que incluso el 67% ha visto cómo su adopción se ha ralentizado debido a dudas relacionadas con la seguridad.
Para hablar sobre este fenómeno y sobre las posibles soluciones para el futuro, Natale Vinto, directora de promoción de desarrolladores de Red Hat, ahonda en la gestión de la seguridad en Kubernetes.
“No cabe duda de que era posible utilizar mejor los procesos de gestión de la seguridad desde el principio. Kubernetes tiene una comunidad enorme, y tiene el mérito de haber hecho que el espacio donde se alojan las aplicaciones sea homogéneo. Ahora los proveedores y vendedores se están industrializando en aras de la seguridad, aunque no todos lo consideren”.
También afirma la directiva que los procesos, por ejemplo, los relacionados con la seguridad, son independientes de la tecnología y hoy hay suficientes conocimientos previos para aplicarlos a nuevos contextos.
Sin embargo, a menudo, en el mundo real, la lógica es más compleja y la adopción de buenas prácticas se considera (erróneamente) residual.
Implementar la seguridad desde cero
No cabe duda de que la gestión de la seguridad en el contexto de los Kubernetes es una tarea compleja, debido a las numerosas capas implicadas.
De hecho, al igual que en la virtualización más tradicional, existe el problema de tener que gestionar la seguridad entre la máquina host y los distintos huéspedes (los contenedores, en este caso).
En resumen, es necesario que el enfoque de seguridad se extienda a toda la cadena, es decir, no solo a los anfitriones y no solo al nivel más alto, es decir, a las aplicaciones.
Para seguir esta filosofía, algunas empresas han creado, por ejemplo, las imágenes base universales, imágenes que se utilizarán como base para crear contenedores caracterizados por un alto nivel de seguridad y que permitan una mejor simbiosis con el anfitrión que los gestiona.
La conclusión es que la seguridad parte del diseño.
La seguridad entre las necesidades y el presupuesto
Cuando se trata de la seguridad de TI, incluso en términos generales, siempre surge el problema de las inversiones inadecuadas.
Sin embargo, una inversión inadecuada provoca incidentes de seguridad, lo que resta recursos a la planificación.
Por ello, es necesario realizar inversiones más específicas, saber dónde invertir para no desperdiciar recursos. Por ejemplo, la automatización puede ayudar a mejorar la seguridad y reducir los costes.
Aumentar la repetibilidad de las operaciones, por ejemplo, es una buena forma de liberar recursos. Y un buen punto de partida puede ser conectar las herramientas internas de Kubernetes que permiten automatizar parte de la seguridad.
La automatización puede ayudar a mejorar la seguridad y reducir los costes
Hacer un mejor uso de las funciones que ya se ofrecen es también un buen punto de partida, pero choca con una característica del contexto de Kubernetes, a nivel comunitario.
Kubernetes es un entorno muy abierto y, a veces, no hay pistas revisadas, ni alguien que guíe las buenas prácticas.
Kubernetes es un entorno muy abierto y, a veces, no hay pistas revisadas, ni alguien que guíe las buenas prácticas y falta un manifiesto unificado sobre la seguridad
Falta un manifiesto unificado sobre la seguridad: aunque hay un grupo muy activo que se ocupa de ello, todos los documentos existentes están basados en la comunidad.
La opción para aquellos que quieran seguir un camino de buenas prácticas puede ser seguir el modelo de un proveedor.
Proteger la cadena de suministro
En el informe ‘El estado de la seguridad de Kubernetes para 2023’ hay una referencia que merece una reflexión importante: el hecho de que los problemas de seguridad en Kubernetes pueden transferirse a toda la cadena de suministro.
El tema está estrechamente relacionado con el ciclo de vida del desarrollo de software: para crear una cadena de suministro segura, es necesario saber, por ejemplo, qué tipo de software se utiliza, qué dependencias se utilizan y cómo se organizan, a su vez, por motivos de seguridad.
Necesitamos una visión holística, pero sobre todo, una vez más, una planificación.
Hoy en día, es posible partir del código y llegar a la inserción en una imagen por contenedor, firmando todo mediante claves públicas, lo que garantiza un mayor nivel de seguridad.
Del mismo modo, es posible escanear en busca de vulnerabilidades en todos los niveles y en todos los entornos, desde el desarrollo hasta la producción.
Una respuesta podría ser la cadena de suministro de software segura, para lo cual se ofrecen herramientas de control y comprobación de las firmas y las vulnerabilidades, en un contexto abierto.
Un cambio cultural
En conclusión, vuelve un tema muy importante: las empresas, sin duda, necesitan cambiar su enfoque cultural.
Un proyecto complejo como la adopción de sistemas de contenerización funciona si las personas están bien capacitadas.
La formación desempeña un papel fundamental, incluso en un contexto de contingencia.
El uso de aceleradores, que permiten configurar el proyecto con rapidez y orientación, puede ayudar a las empresas a lograr mejores resultados e iniciar procesos virtuosos.
Integrar la seguridad en los flujos de trabajo de desarrollo es fundamental para garantizar una seguridad integral y automatizada, y ya casi la mitad de las organizaciones cuentan con una iniciativa avanzada de DevSecOps.
Fuente: Zerounoweb.it, Network Digital360