Llegamos a ustedes gracias a:



Noticias

Startup Twistlock busca asegurar los contenedores Docker

[20/05/2015] A medida que crece el interés por las aplicaciones desplegadas en contenedores, también crecen las preguntas en torno a su seguridad.

La plataforma de código abierto construida por Docker ha experimentado una rápida adopción por parte de los desarrolladores. Las aplicaciones son desplegadas en los llamados contenedores, los cuales pueden ser fácilmente actualizados y trasladados a otras máquinas debido a su pequeña huella.

Muchos contenedores de aplicaciones pueden correr en un solo sistema físico y compartir el kernel de un sistema operativo. Esa mezcla de demandas sobre el sistema operativo, sin embargo, puede conllevar serias consecuencias para la seguridad.

Jay Lyman, gerente de investigación de la firma de investigación 451 Group, afirmó que las herramientas de seguridad y administración para máquinas virtuales han evolucionado bastante, pero la tecnología de contenedor es relativamente inmadura.

"En ausencia de buenas prácticas y medidas de seguridad, existe el riesgo de que las compañías corran contenedores que no son seguros, indicó Lyman.

Por ejemplo, un ataque de denegación de servicio contra el kernel del sistema operativo podría borrar muchas aplicaciones al mismo tiempo, mientras que el mismo tipo de ataque contra una máquina virtual que corre una aplicación podría no ser tan malo.

Los contenedores también pueden ser difíciles de monitorear, ya que compartir recursos puede hacer que sea complicado aislar exactamente qué tipo de incidente de seguridad ocurrió y cuándo lo hizo.

Una startup de nombre Twistlock que se encuentra diseñada para dar una mejor idea del perfil de seguridad de un contenedor, y para que realizar auditorías de incidentes de seguridad sea más sencillo.

"Vemos que las empresas temen a los contenedores porque los ven como una caja negra, sostuvo el CEO, Ben Bernstein.

Twistlock está planeando dos productos: Una plataforma de código abierto para que los desarrolladores revisen si los contenedores se encuentran bien antes del despliegue, y un servicio de pago empresarial dirigido a los equipos de operaciones.

La plataforma de código abierto se enfocará en el llamado "host hardening o asegurarse que un contenedor que ha sido desarrollado rápidamente pase las revisiones básicas de seguridad. Eso incluirá asegurar que los contenedores están corriendo una versión completamente parchada de Docker, limitando el consumo de CPU por parte de los contenedores, asegurando que el SSH esté apagado, entre otros, indicó Bernstein.

El producto para equipos de operaciones les permite realizar un monitoreo y logging de los eventos que ocurren dentro de los contenedores. Los contenedores pueden moverse entre máquinas, por lo cual es importante que los administradores puedan seguir la pista de los eventos de seguridad.

El producto empresarial incluye características como la inspección de runtime, logging y auditorías, y herramientas para administrar el control de acceso. "En la actualidad no hay forma de hacer cumplir no sólo la auditoría sino la autorización y la autenticación, indicó.

Twistlock puede usarse para administrar el acceso de los desarrolladores a los sistemas así como registrar su actividad, afirmó el ejecutivo. El agente de Twistlock se conecta con el canal de control del contenedor para tener administración y control de acceso.

La compañía, con oficinas en Tel Aviv y San Francisco, acaba de comenzar en enero. Bernstein afirmó que tiene cuatro clientes, incluyendo un hedge fund, que evalúa su software.

El mercado está abierto a las herramientas de seguridad relacionadas con Docker, sostuvo Lyman. El competidor más cercano de Twistlock podría der Red Hat, que está trabajando para hacer que el uso de contenedores sea familiar para las empresas. Docker también está integrado en la más reciente versión de Red Hat Enterprise Linux.

Twistlock aún no ha tomado una decisión en cuanto a los precios, pero podría cobrar por el número máximo de contenedores que corran en paralelo o por suscripción, sostuvo Bernstein.