Sysdig
Learn Cloud Native

Sign up to receive our newsletter

Descripción general de la seguridad de IBM Cloud y Kubernetes

Una de las formas en las que IBM pretende destacar en el mercado de la computación en la nube, donde sigue siendo un actor minoritario, es centrándose en la flexibilidad y la personalización.

Esto es algo estupendo en lo que respecta al marketing. Pero desde el punto de vista de la seguridad, más configuraciones potenciales implican también más desafíos, por lo que aprender a proteger los entornos de IBM Cloud es esencial para aprovechar al máximo los servicios en la nube de IBM, tanto si los utiliza de forma exclusiva como si son parte de una estrategia más amplia multicloud o de nube híbrida.

(Por supuesto, los retos de seguridad son un aspecto importante en cualquier plataforma de nube, no solo en la de IBM. Pero la apuesta de IBM por la flexibilidad en sus servicios y configuraciones de nube hace que sea especialmente difícil gestionar los riesgos de seguridad asociados a distintas arquitecturas y configuraciones de nube).

A continuación, explicaremos cómo proteger las workloads que se ejecutan en IBM Cloud. En concreto, hablaremos del enfoque de IBM con respecto al modelo de responsabilidad compartida, de los errores de seguridad más comunes en IBM Cloud, de las mejores prácticas para proteger IBM Cloud y de cómo asegurar y supervisar IBM Cloud Kubernetes Service, una de las principales plataformas de nube de IBM.

Modelo de responsabilidad compartida de IBM Cloud

Como todos los proveedores de nube pública, IBM Cloud utiliza un modelo de responsabilidad compartida que define qué responsabilidades de seguridad y cumplimiento son gestionadas por IBM Cloud y cuáles recaen en los clientes.

IBM ofrece un desglose muy detallado de las responsabilidades que puede consultar si desea conocer todos los detalles de su arquitectura de responsabilidades compartidas. Pero, en general, las políticas se reducen a lo siguiente:

  • Los clientes son responsables de proteger todas las aplicaciones y los datos que despliegan o ejecutan en IBM Cloud, incluidos aquellos alojados a través de servicios gestionados de IBM (como IBM Cloud Kubernetes Service).
  • IBM es responsable de proteger las redes físicas y los servidores que utiliza para gestionar su nube (aunque, como se indica más adelante, los clientes son responsables de proteger los servidores bare-metal desplegados en IBM Cloud).
  • La responsabilidad de proteger la mayor parte de los recursos virtualizados, como los servidores virtuales y las redes virtuales, se comparte entre IBM y los clientes. IBM se encarga de la seguridad de los componentes de virtualización (como los hipervisores) que los clientes no controlan, mientras que los clientes deben asegurar recursos como el sistema operativo que deciden instalar en las máquinas virtuales.

Retos de seguridad de IBM Cloud

A un nivel muy alto, el principal reto de seguridad de IBM Cloud es que, al ofrecer a los clientes tantas formas diferentes de configurar y desplegar workloads, resulta muy complejo aplicar las mejores prácticas de seguridad. Cuando se trabaja con entornos de nube que pueden diseñarse y configurarse de muy diversas maneras, es difícil que las reglas a seguir sean sencillas.

Así que quizás tenga más sentido considerar lo que no se debe hacer desde el punto de vista de la seguridad al diseñar y configurar workloads en IBM Cloud. A continuación se exponen algunos errores comunes de seguridad en IBM Cloud que deben evitarse.

No descuide la seguridad de los servidores bare-metal

Una de las formas en que IBM Cloud intenta ofrecer más opciones que las nubes de la competencia es proporcionando una amplia gama de instancias de servidores IaaS bare-metal. Los servidores bare-metal en la nube suelen ofrecer un mejor rendimiento que los servidores virtuales, porque los clientes no tienen que compartir una máquina física subyacente con otros usuarios.

Sin embargo, uno de los errores de seguridad que se pueden cometer con los servidores bare-metal es asumir que IBM se encarga de gestionar la seguridad del servidor por usted. Si bien es cierto que, en general, la mayor parte de la infraestructura física de IBM Cloud está protegida por IBM, las instancias de servidores bare-metal son una excepción. Como son los clientes quienes despliegan estas instancias y las aprovisionan con el sistema operativo y las aplicaciones que desean ejecutar, también son los principales responsables de la seguridad de los servidores bare-metal. IBM proporciona seguridad física, pero gran parte de las demás responsabilidades de seguridad recaen en los clientes.

No olvide proteger los servicios gestionados

IBM Cloud ofrece una serie de servicios gestionados en la nube que incluyen una implementación alojada de Tekton, una plataforma de CI/CD, Hadoop gestionado y diversos servicios de automatización y análisis de Cloud Pak.

Al igual que con las instancias de servidores bare-metal, los servicios gestionados de IBM Cloud pueden plantear un problema desde el punto de vista de la seguridad, ya que los clientes pueden caer en el error de pensar que IBM asume más responsabilidades de seguridad de las que tiene. Aunque IBM asegura la infraestructura subyacente que sustenta sus servicios gestionados, así como todas las aplicaciones SaaS y APIs que proporciona como parte de los servicios, no protege las aplicaciones o los datos que los clientes deciden desplegar utilizando uno de estos servicios gestionados.

Por lo tanto, si usted carga datos sensibles en IBM Analytics Engine, por ejemplo, o despliega sus propias aplicaciones dentro de containers en IBM Cloud Kubernetes Service, la responsabilidad de proteger esos datos y aplicaciones recae en usted. IBM no anonimizará sus datos por usted ni escaneará las imágenes de sus containers para detectar vulnerabilidades. De eso se tendrá que encargar usted mismo.

Configure IAM eficazmente

Como ocurre con cualquier nube, la seguridad de las workloads alojadas en IBM Cloud depende de la seguridad de las políticas de Identity and Access Management (IAM) que las definen.

IBM Cloud proporciona un marco de IAM que los clientes pueden utilizar para gestionar los permisos a través de la consola de la nube, la CLI o la API. Es aconsejable configurar reglas de IAM que apliquen el principio de mínimo privilegio para todos los recursos que se ejecuten en un entorno de IBM Cloud.

No obstante, tenga en cuenta que IBM Cloud IAM funciona de forma ligeramente diferente a los marcos de IAM de otros proveedores de nube. Por ejemplo, la gestión de usuarios se realiza a través de herramientas externas en lugar de definirse en IAM, como ocurre con AWS IAM. Por lo tanto, antes de empezar a definir las políticas de IAM para sus workloads, le recomendamos que lea la documentación de IAM de IBM Cloud para conocer su enfoque único.

No confíe únicamente en la supervisión y las alertas de seguridad de IBM

IBM Cloud ofrece algunas herramientas de seguridad nativas. La más destacada es IBM Cloud Security Advisor, que permite ver los posibles problemas de seguridad que IBM ha identificado en sus entornos de nube. La información se basa en gran parte en las configuraciones de supervisión de la seguridad definidas por IBM, aunque también se pueden crear reglas personalizadas.

Cloud Security Advisor es un buen punto de partida para la supervisión de la seguridad de IBM Cloud, pero normalmente no es suficiente por sí solo para la supervisión completa de la seguridad por dos razones. La primera es que solo funciona con IBM Cloud, lo que supone un problema si también utiliza otras nubes o entornos locales que no están integrados con su entorno de IBM Cloud. La segunda es que Cloud Security Advisor no siempre es capaz de detectar tipos de amenazas de seguridad muy sutiles o específicos, como los que pueden haber en un entorno complejo de Kubernetes.

Protección de IBM Cloud Kubernetes Service

Dado que IBM Cloud Kubernetes Service ha surgido como una importante oferta de Kubernetes gestionado que puede competir con Amazon Elastic Kubernetes Service o Google Kubernetes Engine, merece la pena dedicar unas palabras a la seguridad de IBM Cloud Kubernetes Service como parte de una estrategia de seguridad más amplia de IBM Cloud.

Al ser un servicio gestionado, IBM se encarga de la seguridad de los servidores que alojan los clústeres de Kubernetes. También asegura el tráfico de red y proporciona a cada cliente un clúster dedicado y de única instancia, de modo que los problemas de seguridad que implican las workloads de otros clientes no le afectarán a usted.

Por lo demás, sin embargo, la mayor parte de las responsabilidades de seguridad recaen en los usuarios, incluyendo:

  • Actualizaciones y mejoras: Una vez desplegado un clúster, los usuarios tienen que actualizar sus clústeres manualmente cuando aparecen nuevas versiones de Kubernetes.  (IBM Cloud les notificará si hay una nueva versión disponible).
  • Seguridad de las imágenes de containers: Debe comprobar la existencia de vulnerabilidades en los containers que despliegue en Kubernetes mediante el escaneo de imágenes de containers.
  • Seguridad de la API de Kubernetes: Utilizando herramientas como RBAC de Kubernetes, los clientes deben mitigar los riesgos de ataques de seguridad que involucren a la API de Kubernetes.
  • Corrección de vulnerabilidades de seguridad: Aunque IBM asegura los nodos que forman los clústeres de Kubernetes, los clientes deben tomar medidas para mitigar el riesgo de que se pueda explotar una vulnerabilidad de seguridad; por ejemplo, evitando que los containers se ejecuten en modo privilegiado y aislándolos a nivel de red.

En muchos aspectos, proteger las workloads que se ejecutan en IBM Cloud Kubernetes Service es igual que proteger cualquier tipo de entorno Kubernetes. La principal diferencia es que IBM protege el servidor subyacente y la infraestructura de red. La mayor parte del resto de responsabilidades de seguridad recaen en el cliente.

Conclusión

Para sacar el máximo partido a las características especiales que ofrece IBM Cloud, que incluyen una gran variedad de servicios gestionados, así como una amplia gama de opciones en torno a recursos como instancias de servidor bare-metal, debe saber cómo proteger las workloads que despliega en IBM Cloud. Herramientas como IBM Cloud Security Advisor son un buen comienzo, pero la mayoría de los casos de uso requerirán una supervisión y auditoría de seguridad adicional mediante herramientas de terceros.