Llegamos a ustedes gracias a:



Noticias

La NSA y el CISA publican una guía de endurecimiento de Kubernetes

Tras Colonial Pipeline y otros ataques

[05/08/2021] A principios de esta semana, la Agencia de Seguridad Nacional de los Estados Unidos (NSA) y la Agencia de Seguridad de la Infraestructura y Ciberseguridad (CISA) publicaron un documento conjunto titulado Kubernetes Hardening Guidance. Kubernetes es un sistema de orquestación de código abierto que se basa en contenedores para automatizar el despliegue, el escalado y la gestión de aplicaciones, normalmente en un entorno de nube. Según el último informe State of Kubernetes Security de RedHat, más de la mitad de los profesionales de la seguridad encuestados afirmaron haber retrasado el despliegue de aplicaciones Kubernetes en producción debido a la seguridad.

Además, casi todos los encuestados sobre seguridad dijeron que habían tenido un incidente de seguridad en su entorno Kubernetes durante el año pasado. Subrayando la profundidad de las preocupaciones de seguridad que rodean a Kubernetes, el 59% de los encuestados dijo que lo que más les preocupa es la falta de respuesta a las necesidades de seguridad y cumplimiento o las amenazas a los contenedores.

El rápido cambio a entornos en la nube, especialmente desde la llegada de la pandemia, sin duda aumenta estas preocupaciones de seguridad. No es de extrañar, por tanto, que la NSA y la CISA sintieran la necesidad de ayudar a las organizaciones a abordar la seguridad en un entorno de contenedores, que es más complejo que las "plataformas de software tradicionales y monolíticas". Aunque las agencias adaptaron su guía a los administradores de sistemas de seguridad nacional (sistemas que contienen información clasificada o de inteligencia) y a las infraestructuras críticas, animan a los administradores de redes gubernamentales federales y estatales, locales, tribales y territoriales (SLTT) a aplicar también las recomendaciones.

Dentro de la arquitectura de Kubernetes hay clústeres compuestos por planos de control y una o más máquinas físicas o virtuales denominadas nodos trabajadores, que alojan pods que comprenden uno o más contenedores. Los contenedores albergan paquetes de software y todas sus dependencias.

La guía conjunta afirma que, si bien Kubernetes siempre ha sido un objetivo para que los actores maliciosos roben datos, los actores de amenazas se sienten cada vez más atraídos por los sistemas Kubernetes para robar potencia de cálculo, a menudo para la minería de criptomonedas.

Tres amenazas principales suponen un peligro para Kubernetes

El documento detalla las siguientes tres amenazas más probables para un clúster de Kubernetes:

  • Riesgo de la cadena de suministro, que plantea peligros en múltiples niveles, incluyendo el nivel de contenedor o aplicación y la infraestructura subyacente.
  • Actores de amenazas maliciosas que pueden explotar varias APIs expuestas por la arquitectura, incluyendo el plano de control, los nodos trabajadores y las aplicaciones en contenedores
  • Amenazas internas procedentes de actores con privilegios elevados o conocimientos especiales, como administradores, usuarios y proveedores de servicios o infraestructuras en la nube.

El documento de 59 páginas explica cómo está estructurado Kubernetes, desde la unidad más pequeña llamada pods, que consiste en uno o más contenedores, hasta la red del clúster. Además, contiene estrategias de refuerzo para evitar errores de configuración comunes, y orientar a los administradores de sistemas y desarrolladores sobre cómo desplegar Kubernetes. La guía conjunta también ofrece configuraciones de ejemplo para las medidas de refuerzo y mitigación recomendadas.

Siete amplias recomendaciones de endurecimiento de Kubernetes

La guía conjunta recomienda que los administradores:

  • Escanear los contenedores y pods en busca de vulnerabilidades o malas configuraciones.
  • Ejecutar los contenedores y pods con los menores privilegios posibles.
  • Utilizar la separación de redes para controlar la cantidad de daño que puede causar un compromiso.
  • Utilizar firewalls para limitar la conectividad de red innecesaria y el cifrado para proteger la confidencialidad.
  • Utilizar autenticación y autorización fuertes para limitar el acceso de usuarios y administradores y limitar la superficie de ataque.
  • Utilizar la auditoría de registros para que los administradores puedan supervisar la actividad y ser alertados de posibles actividades maliciosas.
  • Revisar periódicamente todas las configuraciones de Kubernetes y utilizar escaneos de vulnerabilidad para ayudar a garantizar que los riesgos se tengan en cuenta adecuadamente y que se apliquen los parches de seguridad.