Seguridad en el tiempo de construcción: Desplazamiento a la izquierda

Esta sección te guiará a través de varios aspectos de la seguridad en tiempo de compilación con ejemplos.

Seguridad en tiempo de implementación

La siguiente etapa para asegurar las cargas de trabajo es asegurar la implementación. Para lograrlo, tienes que endurecer tu clúster de Kubernetes donde se despliegan las cargas de trabajo. Necesitarás una revisión detallada de la configuración del clúster de Kubernetes para asegurarte de que se ajusta a las buenas prácticas de seguridad. Empieza por crear un modelo de confianza para los distintos componentes de tu clúster. Un modelo de confianza es un marco en el que revisas un perfil de amenaza y defines mecanismos para responder a ella. Debes aprovechar herramientas como el control de acceso basado en funciones (RBAC), las taxonomías de etiquetas, el gobierno de etiquetas y los controles de admisión para diseñar y aplicar el modelo de confianza. Se trata de mecanismos para controlar el acceso a los recursos y de controles y validaciones que se aplican en el momento de la creación de los recursos. Estos temas se tratan en detalle en los Capítulos 3, 4 y7. Los otros componentes críticos de tu clúster son el almacén de datos de Kubernetes y el servidor API de Kubernetes, y debes prestar mucha atención a detalles como el control de acceso y la seguridad de los datos cuando diseñes el modelo de confianza para estos componentes. Te recomendamos que utilices credenciales sólidas, infraestructura de clave pública (PKI) para el acceso, y seguridad de la capa de transporte (TLS) para el cifrado de datos en tránsito. La seguridad de la APT de Kubernetes y del almacén de datos se trata en detalle en el Capítulo 2.

Debes pensar en el clúster Kubernetes donde se despliegan las cargas de trabajo de misión crítica como una entidad y, a continuación, diseñar un modelo de confianza para la entidad. Esto requiere que revises los controles de seguridad en el perímetro, lo que supondrá un reto debido a las arquitecturas de implementación de Kubernetes; lo trataremos en la siguiente sección. Por ahora, supongamos que los productos actuales que se implementan en el perímetro, como las pasarelas de control de acceso web y los cortafuegos de nueva generación, no conocen la arquitectura de Kubernetes. Te recomendamos que abordes esta cuestión creando integraciones con estos dispositivos, que les permitan conocer el contexto del clúster de Kubernetes para que puedan ser eficaces a la hora de aplicar controles de seguridad en el perímetro. De esta forma puedes crear una estrategia de seguridad muy eficaz en la que los dispositivos de seguridad perimetral trabajen conjuntamente con la seguridad implementada dentro de tu clúster Kubernetes. Como ejemplo, digamos que necesitas que estos dispositivos conozcan la identidad de tus cargas de trabajo (dirección IP, puerto TCP/UDP, etc.). Estos dispositivos pueden proteger eficazmente los hosts que componen tu clúster de Kubernetes, pero en la mayoría de los casos no pueden distinguir entre las cargas de trabajo que se ejecutan en un mismo host. Si estás ejecutando en un entorno de proveedor en la nube, puedes utilizar grupos de seguridad, que son cortafuegos virtuales que permiten controlar el acceso a un grupo de nodos (como las instancias EC2 en Amazon Web Services) que alojan cargas de trabajo. Los grupos de seguridad están más alineados con la arquitectura de Kubernetes que los cortafuegos tradicionales y las pasarelas de seguridad; sin embargo, ni siquiera los grupos de seguridad conocen el contexto de las cargas de trabajo que se ejecutan dentro del clúster.

En resumen, cuando consideres la seguridad en tiempo de implementación, debes implantar un modelo de confianza para tu clúster Kubernetes y construir una integración eficaz con dispositivos de seguridad perimetral que protejan tu clúster.

Seguridad en tiempo de ejecución

Ahora que ya tienes una estrategia para asegurar las etapas de creación e implementación de , tienes que pensar en la seguridad en tiempo de ejecución. El término seguridad en tiempo de ejecución se utiliza para varios aspectos de la seguridad de un clúster Kubernetes, por ejemplo en un host que ejecuta software, pero cualquier configuración que proteja al host y a las cargas de trabajo de actividades no autorizadas (por ejemplo, llamadas al sistema, acceso a archivos) también se denomina seguridad en tiempo de ejecución. El Capítulo 4 tratará en detalle la seguridad en tiempo de ejecución del host y de las cargas de trabajo. En esta sección nos centraremos en las buenas prácticas de seguridad necesarias para garantizar el funcionamiento seguro de la red de clústeres de Kubernetes. Kubernetes es un orquestador que implementa cargas de trabajo y aplicaciones en una red de hosts. Debes considerar la seguridad de la red como un aspecto muy importante de la seguridad en tiempo de ejecución.

Kubernetes promete una mayor agilidad y un uso más eficiente de los recursos informáticos, en comparación con la partición y el aprovisionamiento estáticos de servidores o máquinas virtuales. Lo hace programando dinámicamente las cargas de trabajo en todo el clúster, teniendo en cuenta el uso de recursos en cada nodo, y conectando las cargas de trabajo en una red plana. Por defecto, cuando se implementa una nueva carga de trabajo, el pod correspondiente puede programarse en cualquier nodo del clúster, con cualquier dirección IP dentro de la dirección IP del pod. Si el pod se reprograma posteriormente en otro lugar, normalmente obtendrá una dirección IP diferente. Esto significa que las direcciones IP de los pods deben tratarse como efímeras. No hay ningún significado a largo plazo o especial asociado a las direcciones IP de los pods o a su ubicación dentro de la red.

Consideremos ahora los enfoques tradicionales de la seguridad de red. Históricamente, en las redes empresariales, la seguridad de la red se implementaba mediante dispositivos de seguridad (o versiones virtuales de dispositivos), como cortafuegos y routers. Las normas aplicadas por estos dispositivos se basaban a menudo en una combinación de la topología física de la red y la asignación de rangos específicos de direcciones IP a diferentes clases de cargas de trabajo.

Como Kubernetes se basa en una red plana, sin ningún significado especial para las direcciones IP de los pods, muy pocos de estos dispositivos tradicionales son capaces de proporcionar ninguna seguridad de red significativa y consciente de la carga de trabajo, y en su lugar tienen que tratar todo el clúster como una entidad única. Además, en el caso del tráfico este-oeste entre dos pods alojados en el mismo nodo, el tráfico ni siquiera pasa por la red subyacente. Así que estos dispositivos no verán este tráfico en absoluto y se limitan esencialmente a la seguridad norte-sur, que asegura el tráfico que entra en el clúster desde fuentes externas y el tráfico que se origina dentro del clúster y se dirige a fuentes fuera del clúster.

Teniendo en cuenta todo esto, debería estar claro que Kubernetes requiere un nuevo enfoque de la seguridad de la red. Este nuevo enfoque debe abarcar una amplia gama de consideraciones, entre las que se incluyen:

• Nuevas formas de aplicar la seguridad de red (qué cargas de trabajo pueden hablar con qué otras cargas de trabajo) que no dependen de significados especiales de direcciones IP o topología de red y que funcionan incluso si el tráfico no atraviesa la red subyacente; la política de red de Kubernetes está diseñada para satisfacer estas necesidades.

• Nuevas herramientas para ayudar a gestionar las políticas de red que apoyan los nuevos procesos de desarrollo y el deseo de que los microservicios aporten una mayor agilidad organizativa, como las recomendaciones de políticas, las previsualizaciones del impacto de las políticas y la puesta en escena de las políticas.

• Nuevas formas de monitorizar y visualizar el tráfico de red, que abarcan tanto vistas holísticas del clúster (por ejemplo, cómo ver fácilmente la red global y el estado de seguridad de la red del clúster) como vistas topográficas específicas para profundizar en una secuencia de microservicios y ayudar a solucionar o diagnosticar problemas de la aplicación.

• Nuevas formas de implantar la detección de intrusos y la defensa frente a amenazas, como la alerta por violación de políticas, la detección de anomalías en la red y la alimentación integrada de amenazas.

• Nuevos flujos de trabajo de reparación, para que las cargas de trabajo potencialmente comprometidas puedan aislarse de forma rápida y segura durante la investigación forense.

• Nuevos mecanismos para auditar la configuración y los cambios de política para el cumplimiento.

• Nuevos mecanismos para auditar los cambios en la configuración y las políticas, y también registros de flujo de red sensibles a Kubernetes para cumplir los requisitos de conformidad (ya que los registros de flujo de red tradicionales se basan en IP y tienen poco significado a largo plazo en el contexto de Kubernetes).

Revisaremos un ejemplo de implementación típica de Kubernetes en una empresa para comprender estos retos. La Figura 1-2 es una representación de un modelo de implementación común para Kubernetes y microservicios en un entorno multicloud. Un entorno multicloud es aquel en el que una empresa implementa Kubernetes en más de un proveedor de nubes (Amazon Web Services, Google Cloud, etc.). Un entorno de nube híbrida es aquel en el que una empresa tiene una implementación de Kubernetes en al menos un entorno de proveedor de nube y una implementación de Kubernetes in situ en su centro de datos. La mayoría de las empresas tienen una estrategia de nube dual y tendrán clústeres ejecutándose en Amazon Web Services (AWS), Microsoft Azure o Google Cloud; un mayor número de empresas también tienen algunas aplicaciones heredadas ejecutándose en sus centros de datos. Las cargas de trabajo en el centro de datos probablemente estarán detrás de una pasarela de seguridad que filtre el tráfico que entra por el perímetro. También es probable que los microservicios que se ejecutan en estas Implementaciones de Kubernetes tengan una o más dependencias de:

• Otros servicios en la nube como AWS RDS o Azure DB

• Puntos finales de API de terceros como Twilio

• Servicios SaaS como Salesforce o Zuora

• Bases de datos o aplicaciones heredadas que se ejecutan en el centro de datos

Es probable que las cargas de trabajo del centro de datos estén detrás de una pasarela de seguridad que filtre el tráfico que entra por el perímetro.

La observabilidad en Kubernetes es la capacidad de obtener información procesable sobre el estado de Kubernetes a partir de las métricas recopiladas (más sobre esto más adelante). Aunque la observabilidad tiene otras aplicaciones, como el monitoreo y la resolución de problemas, también es importante en el contexto de la seguridad de la red. Los conceptos de observabilidad aplicados a los registros de flujo correlacionados con otros metadatos de Kubernetes (etiquetas de pods, políticas, espacios de nombres, etc.) se utilizan para supervisar (y luego asegurar) las comunicaciones entre pods de un clúster de Kubernetes, detectar actividades maliciosas comparando direcciones IP con direcciones IP maliciosas conocidas, y utilizar técnicas basadas en el aprendizaje automático para detectar actividades maliciosas. Estos temas se tratan en la siguiente sección. Como puedes ver en la Figura 1-2, la implementación de Kubernetes plantea retos debido a los silos de datos en cada clúster y a la posible pérdida de visibilidad al asociar una carga de trabajo en un clúster a una carga de trabajo en otro clúster o a un servicio externo.

Figura 1-2. Ejemplo de implementación de Kubernetes en una empresa

Como se muestra en la Figura 1-2, la huella de una aplicación de microservicios suele extenderse más allá de los límites de la nube privada virtual (VPC), y asegurar estas aplicaciones requiere un enfoque diferente del enfoque tradicional de seguridad perimetral. Se trata de una combinación de controles de seguridad de red, observabilidad, defensa frente a amenazas y controles de seguridad empresarial. A continuación trataremos cada uno de ellos.

Observabilidad

La observabilidad es muy útil para el monitoreo y la seguridad de un sistema distribuido como Kubernetes. Kubernetes abstrae muchos detalles, y para monitorizar un sistema como éste, no puedes recopilar y monitorizar de forma independiente métricas individuales (como un único flujo de red, un evento de creación/destrucción de un pod o un pico de CPU en un nodo). Lo que se necesita es una forma de monitorizar estas métricas en el contexto de Kubernetes. Por ejemplo, un pod asociado a un servicio o a una implementación se reinicia y se ejecuta como un binario diferente en comparación con sus compañeros, o una actividad del pod (red, sistema de archivos, llamadas al sistema del núcleo) es diferente de la de otros pods de la implementación. Esto se vuelve aún más complejo cuando consideras una aplicación que comprende varios servicios (microservicios) que a su vez están respaldados por varios pods.

La observabilidad es útil para la resolución de problemas y el monitoreo de la seguridad de las cargas de trabajo en Kubernetes. Por ejemplo, la observabilidad en el contexto de un servicio en Kubernetes te permitirá hacer lo siguiente:

• Visualiza tu clúster Kubernetes como un gráfico de servicios, que muestra cómo se asocian los pods con los servicios y los flujos de comunicación entre servicios

• Superponer la aplicación (Capa 7) y el tráfico de red (Capa 3/Capa 4) en el gráfico de servicios como capas separadas que te permitirán determinar fácilmente los patrones de tráfico y la carga de tráfico de las aplicaciones y de la red subyacente

• Visualiza los metadatos del nodo en el que está implementado un pod (por ejemplo, CPU, memoria o detalles del SO anfitrión).

• Ver métricas relacionadas con el funcionamiento de un pod, la carga de tráfico, la latencia de la aplicación (por ejemplo, la duración HTTP), la latencia de la red (tiempo de ida y vuelta de la red) o el funcionamiento del pod (por ejemplo, políticas RBAC, cuentas de servicio o reinicios de contenedores)

• Ver la actividad DNS (códigos de respuesta DNS, latencia, carga) de un servicio determinado (pods que respaldan el servicio)

• Rastrear una transacción de usuario que necesita comunicación a través de múltiples servicios; esto también se conoce como rastreo distribuido

• Ver la comunicación en red de un determinado servicio a entidades externas

• Visualiza los registros de actividad de Kubernetes (por ejemplo, registros de auditoría) de los pods y recursos asociados a un servicio determinado.

Cubriremos los detalles de la observabilidad y ejemplos de cómo puede ayudar a la seguridad en capítulos posteriores. Para este debate, haremos una breve descripción de cómo puedes utilizar la observabilidad como parte de tu estrategia de seguridad.

Marcos de seguridad

Por último, queremos darte a conocer los marcos de seguridad que proporcionan al sector una metodología y una terminología comunes para las buenas prácticas de seguridad. Los marcos de seguridad son una forma estupenda de comprender las técnicas de ataque y las buenas prácticas para defenderte y mitigar los ataques. Deberías utilizarlos para construir y validar tu estrategia de seguridad. Ten en cuenta que estos marcos pueden no ser específicos de Kubernetes, pero proporcionan información sobre las técnicas utilizadas por los adversarios en los ataques, y los investigadores de seguridad tendrán que revisarlos y ver si son relevantes para Kubernetes. Revisaremos dos marcos bien conocidos: Mitre y Threat Matrix para Kubernetes.

MITRE

MITRE es una base de conocimientos sobre tácticas y técnicas de los adversarios basada en observaciones reales de ciberataques. La Matriz ATT&CK® de MITRE para la Empresa es útil porque proporciona las tácticas y técnicas categorizadas para cada etapa de la cadena asesina de la ciberseguridad. La cadena asesina es una descripción de las etapas de un ciberataque y es útil para construir una defensa eficaz contra un ataque. MITRE también proporciona una matriz de ataque adaptada a entornos en la nube como AWS, Google Cloud y Microsoft Azure.

La Figura 1-3 describe la Matriz ATT&CK® de MITRE para AWS. Te recomendamos que revises cada una de las etapas descritas en la matriz de ataques a medida que construyas tu modelo de amenazas para proteger tu clúster de Kubernetes.

Figura 1-3. Matriz de ataque para entornos en la nube en AWS

Matriz de amenazas para Kubernetes

El otro marco es una matriz de amenazas que es una aplicación específica para Kubernetes de la matriz de ataques genérica de MITRE. Fue publicada por el equipo de Microsoft basándose en investigaciones de seguridad y ataques del mundo real. Se trata de otro excelente recurso que puedes utilizar para construir y validar tu estrategia de seguridad.

La Figura 1-4 muestra las etapas relevantes para tu clúster Kubernetes. Se corresponden con las distintas etapas que hemos tratado en este capítulo. Por ejemplo, debes tener en cuenta las imágenes comprometidas en el registro en la etapa de acceso inicial, los recursos de la nube de acceso en la etapa de escalada de privilegios, y la red interna del clúster en la etapa de movimiento lateral para la seguridad de construcción, implementación y tiempo de ejecución, respectivamente.

Figura 1-4. Matriz de amenazas para Kubernetes