Analysis
Os containers e kubernetes começam a ser utilizados por organizações em todo o mundo - incluindo Portugal -, mas as vantagens que a tecnologia traz - como escalabilidade e rapidez - devem ter também em conta os benefícios de segurança, como o isolamento de aplicações e a otimização de recursos
Por Rui Damião . 10/04/2023
A escalabilidade e a rapidez para construir e implementar aplicações está na ordem do dia das organizações que dependem do IT para o seu negócio. Os containers e kubernetes têm vindo a ganhar adeptos junto das organizações, principalmente as que têm alguma dimensão. Portabilidade, escalabilidade, eficiência, agilidade e consistência estão entre os benefícios que esta inovação traz para as organizações, mas é necessário, também, proteger os containers e os kubernetes para que as organizações mantenham a vantagem competitiva que encontram nestas soluções. A importância da segurançaMike Fraser, Vice President of DevSecOps da Sophos, relembra que, “à medida que as organizações adotam cada vez mais containers e kubernetes como parte da sua estratégia de DevOps, é crucial considerar as implicações de segurança dessas tecnologias”. Reconhecendo que os containers e kubernetes “apresentam novos desafios de segurança”, Mike Fraser acrescenta que “o seu elevado grau de portabilidade também os torna alvos atrativos para invasores que procuram explorar vulnerabilidades e conseguir acesso não autorizado”.
“Podemos dizer que utilizar containers e kubernetes cria vetores de ameaça adicionais que exigem experiência e conhecimentos especializados em segurança. Para mitigar os riscos, as organizações devem garantir que têm o talento e os recursos para proteger adequadamente os seus ambientes nativos de cloud em containers”, diz o representante da Sophos. Para Sérgio Seabra, Senior Solutions Architect da Red Hat, “a aplicação e subsequente imposição de diretrizes de segurança em containers e ambientes kubernetes é tão inexorável quanto necessária”, até porque a utilização de qualquer tecnologia “deverá ter sempre subjacente uma preocupação máxima com a segurança”. Se nos focarmos na vertente cloud-native, “o cuidado e atenção com a securitização de todo o ciclo de vida assume contornos mais importantes do que as tecnologias precedentes” que se deve a fatores como a multiplicidade de unidades de execução, dispersão de execução em diferentes infraestruturas, das diferentes camadas que compõem as abordagens DevOps e a heterogeneidade das frameworks de programação e execução. Angel Montes, Technical Account Manager Iberia da Qualys, refere que “estes ambientes são altamente versáteis e oferecem muitas vantagens, mas são tão vulneráveis como os ambientes tradicionais de ativos físicos ou virtuais. Por conseguinte, é essencial ter uma solução que dê visibilidade aos containers e às imagens em termos de vulnerabilidades e de configurações erradas, protegendo o pipeline CI/CD, higienizando o registo onde as imagens são armazenadas, protegendo os containers em tempo de execução e identificando os containers obsoletos que possam estar em ambientes de produção sem qualquer controlo”. Benefícios
“Dada a prevalência cada vez maior deste tipo de workloads, também ‘maior é o apetite’ das entidades/indivíduos que se dedicam a explorar e tentar encontrar falhas nestas soluções para proveito próprio”, indica Sérgio Seabra. Neste contexto, diz, “as organizações devem dedicar recursos e meios consideráveis para evitar serem vítimas destes muito reais e constantes assaltos ao âmago da integridade dos seus ativos de IT, fazendo com que sejam o mais inexpugnáveis possível”. Angel Montes recorda que existem “múltiplos tipos de ameaças aos ambientes de containers e kubernetes. O conjunto de ameaças a que estes ambientes estão expostos pode comprometer e pôr em risco as infraestruturas de qualquer organização, aplicando medidas tanto preventivas como reativas (deteção de vulnerabilidades e de erros de configuração em containers e imagens, higienização do registo e proteção do tempo de execução), ajudará a reduzir o risco neste tipo de ambiente”. Mike Fraser reforça que os containers e kubernetes “oferecem muitos benefícios de segurança às organizações, ao isolar aplicações, otimizar a utilização de recursos e automatizar os processos de segurança”. Os containers, por exemplo, “são geralmente criados a partir de imagens imutáveis, ou seja, que não são modificadas durante o tempo de execução – o que facilita a deteção de alterações não autorizadas e a reversão para uma versão anterior, se necessário”, enquanto os kubernetes “oferecem funcionalidades de segurança integradas, como políticas de rede, políticas de segurança de pod e gestão de segredos, que podem ser automatizadas para reduzir o risco de erro humano. Os kubernetes também oferecem mecanismos robustos de controlo de acessos que podem ser utilizados para restringir o acesso a capacidades e dados confidenciais”. Estratégias para protegerPara proteger eficazmente os containers, as estratégias de proteção “não envolvem apenas a aplicação de controlos preventivos, mas deverá também ter-se em conta que é necessário aplicar medidas de proteção nos ativos sobre os quais estes containers estão a funcionar, uma vez que, se a base for vulnerável, a infraestrutura de containers também o será”, refere Angel Montes, da Qualys, que acrescenta que “é essencial aplicar soluções de segurança eficazes nas diferentes fases (fase de conceção, fase de implementação e fase de execução). É essencial ter uma solução que permita validar se uma imagem é vulnerável ou se tem más configurações antes de entrar em produção na fase de desenho”. Para Mike Fraser, da Sophos, uma das primeiras estratégias para proteger containers e kubernetes é “utilizar uma estrutura modelo para rever todos os controlos; algumas a ter em conta são o ‘Center for Internet Security for Docker and Kubernetes Benchmark’ ou o ‘MITRE ATT&CK Containers Matrix’. Outra estratégia é a automação através de DevSecOps para introduzir ferramentas de segurança em todo o ciclo de vida para a gestão de vulnerabilidades” que irá permitir “fazer uma verificação regular da infraestrutura como código para análise de comportamento em tempo de execução e habilitar ações de resposta para corrigir automaticamente as descobertas”. Sérgio Seabra, da Red Hat, indica que “as organizações que procuram estratégias para fixar recipientes e kubernetes da forma mais eficaz podem aplicar estratégias como agilidade e leveza do código; supressão de inconsistências e defeitos na code tree; e securitização dos elementos”. Assim, “à medida que estas tecnologias se foram desenvolvendo e a sua adoção aumentando, estas foram secundadas por mecanismos e arquiteturas cujo objetivo é alavancar que não sejam passíveis de ser exploradas e/ ou comprometidas. A maioria destes esforços consolidou-se no que é geralmente denominado por DevSecOps”. A realidade nacional
Angel Montes refere que, após a pandemia, “as organizações em Portugal aumentaram o investimento em tecnologia e digitalização. No entanto, isto aliado a ambientes tão flexíveis e voláteis, levou a um aumento da superfície de ataque a que estão expostas”. Atualmente, “há uma consciência cada vez maior para a importância de investir na segurança deste tipo de ambiente, não como uma barreira, mas como um facilitador. Embora seja verdade que ainda há algum caminho a percorrer, as empresas estão a tornar-se cada vez mais atentas a este problema”. Mike Fraser afirma que, em Portugal, “apenas as organizações de maior dimensão e com um alto nível de maturidade de cibersegurança têm preocupações quanto a soluções baseadas em containers e kubernetes e respetivos processos de segurança. Assim, e tendo em conta o tecido empresarial do país, é seguro dizer que a maioria das organizações portuguesas ainda desconhece os problemas de cibersegurança nestes ambientes”. |