3 claves para implementar contenedores seguros

Qualys recomienda fortalecer la colaboración entre los desarrolladores software y el equipo de seguridad.

La tecnología de contenedores se está abriendo paso entre las empresas, como una de las grandes apuestas de futuro del mercado.

Su implementación impulsa el desarrollo de aplicaciones y la escalabilidad basada en la demanda para responder con celeridad a las necesidades de los negocios. Pero ¿cómo realizar esa implementación? ¿Y qué esperar de ella?

Para ayudar a entender el impacto que tienen los contenedores, por ejemplo, en las operaciones de seguridad, Qualys enumera algunos de los aspectos que las compañías deben tener en cuenta.

En primer lugar, esta tecnología “supone una ruptura con el enfoque tradicional de la gestión de la seguridad” porque cada imagen o representación de las aplicaciones y servicios se podrá usar a demanda y eliminarse después. Es decir, al carecer de estado y no dejar rastro de su existencia, se complican las tareas de protección.

Para que no haya problemas, los equipos de desarrollo de software y los equipos de seguridad deben colaborar.

Además, “implica unas complicaciones específicas”, más allá de las ventajas, como que una única imagen insegura almacenada se cree en contenedores separados repetidas veces generando una gran superficie de ataque.

Existen dificultades a nivel del host, por malas configuraciones o la existencia de vulnerabilidades. Una vulnerabilidad del contenedor o una configuración incorrecta en un contenedor conlleva un riesgo. Y el compromiso de la imagen del contenedor también lo conlleva, por incluir software vulnerable en la imagen de base del registro.

Los atacantes pueden buscar formas de salir de un contenedor para llegar a una red más amplia o moverse lateralmente desde una máquina comprometida.

Por último, esta tendencia “demanda una visión de la seguridad enfocada dentro de la imagen del contenedor”, con reglas específicas como no dar acceso ssh a contenedores en ejecución o no permitir que httpd se ejecute como servidor web en el puerto 80 en un contenedor de base de datos.

Un consejo es incluir el análisis de seguridad como parte del proceso de registro de los contenedores, mientras están activos y operativos.

Si no se tiene en cuenta la seguridad, los beneficios de agilidad y flexibilidad de la contenerización quedarán anulados.