Esta práctica, cada vez más usada en los entornos empresariales, rompe según los expertos con las reglas de la seguridad tradicional y puede disparar los riesgos si no se adopta el enfoque adecuado.
La contenerización es una tendencia creciente en los entornos empresariales, impulsada por beneficios como la agilidad que aporta en los desarrollos de aplicaciones o la escalabilidad basada en la demanda que permite responder a un ritmo más rápido a las necesidades de los negocios.
Gartner estima que más del 75% de las organizaciones globales ejecutarán aplicaciones en contenedores en producción para 2022, más del doble de la cantidad actual. Según los expertos de Qualys, Inc. (NASDAQ: QLYS), proveedor pionero y líder de soluciones de cumplimiento y seguridad basadas en la nube, es imprescindible considerar el impacto de esta tendencia en las operaciones de seguridad y para ello es necesario tener en cuenta tres importantes premisas de la contenerización:
- Supone una ruptura con el enfoque tradicional de la gestión de la seguridad:
Esto es debido a que cada imagen de contenedor –es decir, cada una de las representaciones estáticas de las aplicaciones o servicios- pueden crearse, usarse a demanda y después eliminarse. Muchas imágenes carecen de estado y no dejan huella de su existencia, lo que dificulta la labor de los equipos de seguridad TI a la hora de proteger y administrar estos entornos. Entender esta ruptura supone un antes y un después en el enfoque a seguir: ha de existir una mayor colaboración entre los equipos de desarrollo de software y los equipos de seguridad.
- Implica unas complicaciones específicas:
Existen ventajas en este modelo, como el hecho de que la inmutabilidad de los contenedores pueda detener algunos problemas de seguridad que podrían afectar a otras aplicaciones. Pero también existen un conjunto de problemáticas propias de estos entornos, como el hecho de que una sola imagen insegura almacenada en un registro –o biblioteca de imágenes- pueda crearse muchas veces en contenedores separados generando una superficie de ataque generalizada.
En líneas generales, las principales complicaciones a tener en cuenta son:
- Problemas a nivel del host: una mala configuración del host del contenedor o una vulnerabilidad podrían exponer su seguridad.
- Compromiso de la imagen del contenedor: Esto sucede cuando software vulnerable es incluido en la imagen de base del registro, que luego se extendería al incluirse en todos los nuevos contenedores creados.
- Vulnerabilidades del contenedor: una vulnerabilidad o una configuración incorrecta en un contenedor supone por sí mismo un riesgo potencial para la seguridad.
- Los atacantes pueden buscar formas de salir desde un único contenedor para entrar en una red más amplia o moverse lateralmente desde una máquina comprometida en la red hacia la implementación del contenedor.
- Demanda una visión de la seguridad enfocada dentro de la imagen del contenedor. Esto incluiría la implementación de reglas muy específicas como no proporcionar acceso ssh a contenedores en ejecución o no permitir que el proceso httpd se ejecute como un servidor web en el puerto 80 dentro de un contenedor de base de datos. Y, en esta línea, será necesario analizar cómo se puede integrar la seguridad en el proceso de desarrollo del software marcando pasos a seguir como el de implementar análisis de seguridad como parte del proceso de registro de los contenedores, así como mientras estos se hallan activos y operativos. “Observar el ciclo de vida completo de los contenedores desde el momento del desarrollo del software hasta su puesta en producción facilitará la detección de cualquier problema de seguridad”, destaca Sergio Pedroche, director técnico para España y Portugal de Qualys.
Los expertos de Qualys destacan, como conclusión, que si no se realiza la aproximación de seguridad adecuada todos esos beneficios implícitos en la contenerización –agilidad, flexibilidad, velocidad de desarrollo etc.- se verían comprometidos o anulados.
“Es crucial que tomemos conciencia de la idiosincrasia de esta tendencia y de que cualquier enfoque de seguridad debería formar parte del proceso de desarrollo e integrarse en las herramientas que utilizan diariamente los desarrolladores mediante APIs”, concluye Pedroche. “Intentar aplicar las herramientas de seguridad por separado no haría sino retrasar los procesos”.
Acerca de Qualys
Qualys, Inc. (NASDAQ: QLYS) es y proveedor pionero y líder de soluciones disruptivas de TI, seguridad y cumplimiento basadas en la nube con más de 15.700 clientes activos en más de 130 países, incluyendo la mayoría de los incluidos en la lista Forbes Global 100 y Fortune 100. Qualys ayuda a las organizaciones a racionalizar y consolidar sus soluciones de seguridad y cumplimiento en una sola plataforma y a incorporar la seguridad en las iniciativas de transformación digital para lograr una mayor agilidad, mejores resultados comerciales y un ahorro sustancial de costes.
La plataforma nativa Qualys Cloud Platform y sus aplicaciones de nube integradas ofrecen una visibilidad de 360 grados en instalaciones locales, puestos de trabajo, entornos de nube, contenedores y entornos móviles. La plataforma ofrece la visibilidad que las empresas necesitan para evaluar continuamente la inteligencia de seguridad crítica, permitiéndoles automatizar todo el espectro de auditoría, cumplimiento y protección de los sistemas de TI y aplicaciones web. Fundada en 1999 como una de las primeras empresas de seguridad SaaS, Qualys ha construido una amplia e impresionante base de clientes y ha establecido asociaciones estratégicas con los principales proveedores de nubes, como Amazon Web Services, Microsoft Azure y Google Cloud Platform, así como con preeminentes proveedores de servicios gestionados y organizaciones de consultoría, como Accenture, BT, Cognizant Technology Solutions, Deutsche Telekom, DXC Technology, Fujitsu, HCL Technologies, IBM, Infosys, NTT, Optiv, SecureWorks, Tata Communications, Verizon y Wipro. La empresa es también miembro fundador de la Cloud Security.
