BLOG

Noções básicas de segurança de contêineres: INTRODUÇÃO

  Jordan Zebor

  Lori MacVittie

Publicado em 10 de julho de 2019

O que realmente significa segurança de contêineres?

A adoção de contêineres continua acelerando. Vemos isso em pesquisas em todas as áreas impactadas da TI, que abrangem praticamente todas. É incontestável que cargas de trabalho em contêineres continuarão a consumir cargas de trabalho corporativas tanto no local quanto na nuvem.

Quase todas (94%) as organizações com contêineres em produção estão um pouco ou muito preocupadas com a segurança dos contêineres. Mais da metade (60%) sofreu um incidente de segurança de contêiner nos últimos 12 meses, de acordo com o State of Container Security 2019 da Tripwire . Mais da metade (54%) dos entrevistados selecionaram “conhecimento inadequado de segurança de contêineres entre as equipes” como sua maior preocupação de segurança.

Isso pode ocorrer porque a conteinerização não se refere apenas a um formato de embalagem. Os contêineres por si só oferecem muito pouco benefício às organizações. A força dos contêineres está na capacidade de implantá-los e gerenciá-los usando sistemas de orquestração. É por isso que eles existem há várias décadas, mas nunca foram realmente adotados até que as ofertas de orquestração apareceram em cena.

A adoção foi acelerada quando ficou claro que contêineres e orquestração eram uma combinação natural com abordagens como Agile e DevOps, que incentivam a velocidade por meio do uso de pipelines automatizados de entrega e implantação.

É razoável, então, supor que, se alguém estiver implantando cargas de trabalho em contêineres, também estará implantando um sistema de orquestração que faz parte de um pipeline de entrega (CI/CD).

Existem, então, três sistemas individuais que devem ser considerados quando começamos a falar sobre segurança de contêineres: pipeline, orquestração e carga de trabalho. 

pilha de contêineres

Sua estratégia de segurança para contêineres também deve incluir todos os três. Deixar qualquer um deles sem avaliação deixa você exposto a uma variedade de riscos, muitos dos quais podem lhe render um lugar que você não quer em uma lista ou pior, em um título que você não quer ler. Isso certamente torna mais difícil para as organizações garantir que as equipes tenham o conhecimento de segurança adequado e necessário.

É por isso que me juntei ao Sr. O engenheiro de testes de segurança de plataforma, Jordan Zebor, traz uma série de blogs com o objetivo de ajudar você a se familiarizar com os conceitos básicos para que possa formular uma estratégia de segurança de contêiner bem-sucedida. Para fazer isso, vamos nos aprofundar em cada um dos três componentes da segurança do contêiner:

  1. Segurança de oleodutos
    Seu pipeline é o conjunto de ferramentas usadas para automatizar a entrega de cargas de trabalho em contêineres ao sistema de orquestração. Pode incluir scripts Python personalizados, Jenkins, GitHub, GitLab e muito mais.

  2. Segurança de orquestração
    O sistema de orquestração é usado para gerenciar e dimensionar cargas de trabalho. Na maioria das vezes, Kubernetes, mas pode ser um sistema baseado em Kubernetes, como RedHat OpenShift, AWS, Azure, Google, Mesos ou, em alguns casos, um sistema personalizado. Nesta série, vamos nos concentrar no Kubernetes, pois é a opção de orquestração mais usada atualmente.

  3. Segurança da Carga de Trabalho
    A segurança da carga de trabalho que está sendo implantada. Cada carga de trabalho é um software que se comunica com outras cargas de trabalho e pode ser acessível ao público. Isso inclui cada vez mais infraestrutura e middleware. 

Leia o próximo blog da série: 
Noções básicas de segurança de contêineres: Gasoduto