Capítulo 6. Seguridad e identidad

Durante mucho tiempo, la seguridad de las aplicaciones y los sistemas se ha centrado en la red. Históricamente, hemos construido duros caparazones exteriores (cortafuegos, VPN, etc.) para defendernos de los ataques, pero una vez penetrado el caparazón exterior, un atacante podría acceder fácilmente a muchos sistemas. Pero hemos construido una defensa en profundidad y aplicado conceptos de aislamiento de red dentro de nuestro propio dominio de confianza, lo que ha exigido que los administradores de seguridad abran agujeros en la red y configuren las cosas de tal manera, con estas identidades de red (direcciones IP) asignadas aquí con ese acceso allí, canalizadas a través de estos puertos aquí, etc., sólo para que nuestras aplicaciones puedan comunicarse entre sí. Este enfoque de la seguridad funciona bien cuando el ritmo de cambio del sistema es bajo, y cuando el cambio se produce en el transcurso de los días es más fácil tomar medidas manuales o automatizar la configuración y el mantenimiento de las redes.

Sin embargo, cuando se trata de sistemas basados en contenedores, el ritmo de cambio no se cuenta por días, sino por segundos. En entornos altamente dinámicos, los modelos tradicionales de seguridad de red se vienen abajo. El problema clave es que la seguridad de red tradicional pone el énfasis en la única identidad disponible ...