BLOG

Práctica de la contenedorización segura

Miniatura de Lori MacVittie
Lori MacVittie
Publicado el 20 de mayo de 2019

Todo el mundo sabe que Kubernetes ha ganado la guerra de los contenedores. El único caso en el que Kubernetes ha ganado es la guerra del tiempo de ejecución de contenedores. Ya ves, la guerra de las imágenes de contenedores la ganó Docker. Esto se puede ver en la estadística de que más de mil millones de contenedores Docker se descargan cada dos semanas según el Informe sobre el estado de la seguridad de código abierto 2019 . Docker Hub se ha convertido para las empresas en lo que el AppStore de Apple y Google Play son para los consumidores.

Las imágenes de contenedores abarcan desde sistemas operativos base hasta pilas de aplicaciones, desde bases de datos hasta middleware y motores de aplicaciones compatibles con node.js, Python y Go. Incluso incluyen integraciones de ecosistemas para servicios de aplicação .

Si está en la mayoría de las organizaciones que implementan contenedores, probablemente esté implementando imágenes de Docker dentro de un entorno de Kubernetes.

Y si estás haciendo eso , probablemente también estés implementando imágenes de contenedores vulnerables. La investigación antes mencionada de Snyk descubrió que "cada una de las diez imágenes Docker predeterminadas más populares contiene al menos 30 bibliotecas de sistema vulnerables". Es común, continúa señalando el informe, "que las bibliotecas del sistema estén disponibles en muchas imágenes de Docker, ya que estas dependen de una imagen principal que comúnmente usa una distribución de Linux como base".

Vulnerabilidad del sistema operativo

Entonces, tenemos una gran cantidad de imágenes vulnerables que las organizaciones descargan todo el tiempo. Según Snyk, el número de vulnerabilidades está aumentando constantemente en las tres principales distribuciones de Linux.

No sorprende, entonces, que el Informe sobre el estado de la seguridad de los contenedores de 2019 de Tripwire haya descubierto que un asombroso 60 % de encuestados había experimentado un incidente de seguridad de contenedores en los últimos doce meses. Para casi uno de cada cinco (17%), esto probablemente se debe a que la organización estaba al tanto de las vulnerabilidades, pero las implementó de todos modos. Esto a pesar de que Snyk descubrió que para el 44% de las imágenes de Docker que contenían vulnerabilidades conocidas había imágenes base más nuevas y más seguras disponibles. En otras palabras, simplemente obtener una imagen actualizada habría mitigado el riesgo. Otro 22% de esas imágenes con vulnerabilidades podrían haberse solucionado simplemente reconstruyendo la imagen.

En realidad. No puedo inventar esto.

Gran parte del enfoque en "desplazar la seguridad hacia la izquierda" tiene que ver tanto con la implementación de servicios de aplicação de seguridad adecuados (defensa BOT, firewalls de aplicação web, control de identidad y acceso) como con la incorporación de prácticas seguras en el ciclo de vida del desarrollo y la entrega.  Estas prácticas incluyen escanear el código y los contenedores para detectar vulnerabilidades conocidas y luego abordarlas .

Ese énfasis fue para el 17% de ustedes que conocían las vulnerabilidades en una imagen de contenedor pero las implementaron sin remediarlas.

Podemos hacerlo mejor que esto. Sí, la velocidad es importante, pero la velocidad sin seguridad es peligrosa, no solo para la organización sino también para los clientes que, en última instancia, usan las aplicaciones que usted está lanzando rápidamente al mercado.

Si aún no practica la contenedorización segura, considere poner en práctica estos pasos:

  1. Evaluar el uso. Muchas organizaciones no son conscientes de lo generalizado que es realmente su consumo de fuentes e imágenes abiertas y de terceros. Comprender este aspecto es un primer paso importante. No puedes abordar las vulnerabilidades de un software que ni siquiera sabes que estás usando.
  2. Estandarizar. Intente encontrar puntos comunes entre aplicações y operaciones y estandarice la menor cantidad posible de imágenes/componentes de contenedores. Esto distribuirá la carga de seguridad en toda la organización y, en última instancia, resultará en una mejor seguridad para todos.
  3. Revisiones de código seguras. Si incluye componentes o scripts de terceros (y es casi seguro que lo hace), revíselos y entréguelos/compílelos desde un repositorio privado.
  4. Auditorías de contenedores seguros. Si consume imágenes de terceros, audite y certifique su seguridad y luego entréguelas desde un repositorio privado.
  5. Suscríbete a los canales de seguridad. Si confía en una imagen o un código fuente, busque y suscríbase a los canales a través de los cuales comunican posibles vulnerabilidades. Saber es, después de todo, la mitad de la batalla.