Analysis

Brave New World

Containers e Kubernetes: eficiência e agilidade com desafios de segurança

Os containers e kubernetes começam a ser utilizados por organizações em todo o mundo - incluindo Portugal -, mas as vantagens que a tecnologia traz - como escalabilidade e rapidez - devem ter também em conta os benefícios de segurança, como o isolamento de aplicações e a otimização de recursos

Por Rui Damião . 10/04/2023

Containers e Kubernetes: eficiência e agilidade com desafios de segurança

A escalabilidade e a rapidez para construir e implementar aplicações está na ordem do dia das organizações que dependem do IT para o seu negócio. Os containers e kubernetes têm vindo a ganhar adeptos junto das organizações, principalmente as que têm alguma dimensão.

Portabilidade, escalabilidade, eficiência, agilidade e consistência estão entre os benefícios que esta inovação traz para as organizações, mas é necessário, também, proteger os containers e os kubernetes para que as organizações mantenham a vantagem competitiva que encontram nestas soluções.

A importância da segurança

Mike Fraser, Vice President of DevSecOps da Sophos, relembra que, “à medida que as organizações adotam cada vez mais containers e kubernetes como parte da sua estratégia de DevOps, é crucial considerar as implicações de segurança dessas tecnologias”. Reconhecendo que os containers e kubernetes “apresentam novos desafios de segurança”, Mike Fraser acrescenta que “o seu elevado grau de portabilidade também os torna alvos atrativos para invasores que procuram explorar vulnerabilidades e conseguir acesso não autorizado”.

 

“À medida que as organizações adotam cada vez mais containers e kubernetes como parte da sua estratégia de DevOps, é crucial considerar as implicações de segurança dessas tecnologias”


Mike Fraser, Sophos

“Podemos dizer que utilizar containers e kubernetes cria vetores de ameaça adicionais que exigem experiência e conhecimentos especializados em segurança. Para mitigar os riscos, as organizações devem garantir que têm o talento e os recursos para proteger adequadamente os seus ambientes nativos de cloud em containers”, diz o representante da Sophos.

Para Sérgio Seabra, Senior Solutions Architect da Red Hat, “a aplicação e subsequente imposição de diretrizes de segurança em containers e ambientes kubernetes é tão inexorável quanto necessária”, até porque a utilização de qualquer tecnologia “deverá ter sempre subjacente uma preocupação máxima com a segurança”. Se nos focarmos na vertente cloud-native, “o cuidado e atenção com a securitização de todo o ciclo de vida assume contornos mais importantes do que as tecnologias precedentes” que se deve a fatores como a multiplicidade de unidades de execução, dispersão de execução em diferentes infraestruturas, das diferentes camadas que compõem as abordagens DevOps e a heterogeneidade das frameworks de programação e execução.

Angel Montes, Technical Account Manager Iberia da Qualys, refere que “estes ambientes são altamente versáteis e oferecem muitas vantagens, mas são tão vulneráveis como os ambientes tradicionais de ativos físicos ou virtuais. Por conseguinte, é essencial ter uma solução que dê visibilidade aos containers e às imagens em termos de vulnerabilidades e de configurações erradas, protegendo o pipeline CI/CD, higienizando o registo onde as imagens são armazenadas, protegendo os containers em tempo de execução e identificando os containers obsoletos que possam estar em ambientes de produção sem qualquer controlo”. 

Benefícios

“A aplicação e subsequente imposição de diretrizes de segurança em containers e ambientes kubernetes é tão inexorável quanto necessária”


Sérgio Seabra, Red Hat

 

“Dada a prevalência cada vez maior deste tipo de workloads, também ‘maior é o apetite’ das entidades/indivíduos que se dedicam a explorar e tentar encontrar falhas nestas soluções para proveito próprio”, indica Sérgio Seabra. Neste contexto, diz, “as organizações devem dedicar recursos e meios consideráveis para evitar serem vítimas destes muito reais e constantes assaltos ao âmago da integridade dos seus ativos de IT, fazendo com que sejam o mais inexpugnáveis possível”.

Angel Montes recorda que existem “múltiplos tipos de ameaças aos ambientes de containers e kubernetes. O conjunto de ameaças a que estes ambientes estão expostos pode comprometer e pôr em risco as infraestruturas de qualquer organização, aplicando medidas tanto preventivas como reativas (deteção de vulnerabilidades e de erros de configuração em containers e imagens, higienização do registo e proteção do tempo de execução), ajudará a reduzir o risco neste tipo de ambiente”.

Mike Fraser reforça que os containers e kubernetes “oferecem muitos benefícios de segurança às organizações, ao isolar aplicações, otimizar a utilização de recursos e automatizar os processos de segurança”. Os containers, por exemplo, “são geralmente criados a partir de imagens imutáveis, ou seja, que não são modificadas durante o tempo de execução – o que facilita a deteção de alterações não autorizadas e a reversão para uma versão anterior, se necessário”, enquanto os kubernetes “oferecem funcionalidades de segurança integradas, como políticas de rede, políticas de segurança de pod e gestão de segredos, que podem ser automatizadas para reduzir o risco de erro humano. Os kubernetes também oferecem mecanismos robustos de controlo de acessos que podem ser utilizados para restringir o acesso a capacidades e dados confidenciais”.

Estratégias para proteger

Para proteger eficazmente os containers, as estratégias de proteção “não envolvem apenas a aplicação de controlos preventivos, mas deverá também ter-se em conta que é necessário aplicar medidas de proteção nos ativos sobre os quais estes containers estão a funcionar, uma vez que, se a base for vulnerável, a infraestrutura de containers também o será”, refere Angel Montes, da Qualys, que acrescenta que “é essencial aplicar soluções de segurança eficazes nas diferentes fases (fase de conceção, fase de implementação e fase de execução). É essencial ter uma solução que permita validar se uma imagem é vulnerável ou se tem más configurações antes de entrar em produção na fase de desenho”.

Para Mike Fraser, da Sophos, uma das primeiras estratégias para proteger containers e kubernetes é “utilizar uma estrutura modelo para rever todos os controlos; algumas a ter em conta são o ‘Center for Internet Security for Docker and Kubernetes Benchmark’ ou o ‘MITRE ATT&CK Containers Matrix’. Outra estratégia é a automação através de DevSecOps para introduzir ferramentas de segurança em todo o ciclo de vida para a gestão de vulnerabilidades” que irá permitir “fazer uma verificação regular da infraestrutura como código para análise de comportamento em tempo de execução e habilitar ações de resposta para corrigir automaticamente as descobertas”.

Sérgio Seabra, da Red Hat, indica que “as organizações que procuram estratégias para fixar recipientes e kubernetes da forma mais eficaz podem aplicar estratégias como agilidade e leveza do código; supressão de inconsistências e defeitos na code tree; e securitização dos elementos”. Assim, “à medida que estas tecnologias se foram desenvolvendo e a sua adoção aumentando, estas foram secundadas por mecanismos e arquiteturas cujo objetivo é alavancar que não sejam passíveis de ser exploradas e/ ou comprometidas. A maioria destes esforços consolidou-se no que é geralmente denominado por DevSecOps”.

A realidade nacional

“Múltiplos tipos de ameaças aos ambientes de containers e kubernetes. O conjunto de ameaças a que estes ambientes estão expostos pode comprometer e pôr em risco as infraestruturas de qualquer organização”


Angel Montes, Qualys

 

Angel Montes refere que, após a pandemia, “as organizações em Portugal aumentaram o investimento em tecnologia e digitalização. No entanto, isto aliado a ambientes tão flexíveis e voláteis, levou a um aumento da superfície de ataque a que estão expostas”. Atualmente, “há uma consciência cada vez maior para a importância de investir na segurança deste tipo de ambiente, não como uma barreira, mas como um facilitador. Embora seja verdade que ainda há algum caminho a percorrer, as empresas estão a tornar-se cada vez mais atentas a este problema”.

Mike Fraser afirma que, em Portugal, “apenas as organizações de maior dimensão e com um alto nível de maturidade de cibersegurança têm preocupações quanto a soluções baseadas em containers e kubernetes e respetivos processos de segurança. Assim, e tendo em conta o tecido empresarial do país, é seguro dizer que a maioria das organizações portuguesas ainda desconhece os problemas de cibersegurança nestes ambientes”.


RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº21 Dezembro 2024

IT SECURITY Nº21 Dezembro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.