Kubernetes Security Posture Management (KSPM)
Es probable que a estas alturas ya haya oído hablar de la gestión de la postura de seguridad en la nube (Cloud Security Posture Management, CSPM), que utiliza la automatización para detectar y solucionar los problemas de seguridad y cumplimiento en la nube.
Pero, ¿qué hay de Kubernetes Security Posture Management (KSPM)? Considerando que cada vez son más numerosas las workloads que se despliegan en Kubernetes, KSPM se ha convertido en un importante complemento de CSPM.
Aquí le contamos todo lo que necesita saber sobre la gestión de la postura de seguridad de Kubernetes y las mejores prácticas para automatizar la seguridad y el cumplimiento del mismo.
¿Qué es Kubernetes Security Posture Management?
Kubernetes Security Posture Management (KSPM) es el uso de herramientas de automatización de la seguridad para identificar y solucionar problemas de seguridad y cumplimiento en cualquier componente de Kubernetes.
Por ejemplo, KSPM puede detectar errores de configuración en la definición de un rol RBAC de Kubernetes que otorgue a un usuario no administrador permisos que no debería tener, como la capacidad de crear nuevos pods. O una herramienta KSPM puede alertarle de una configuración de red de Kubernetes insegura que permita la comunicación entre pods en diferentes namespaces y que normalmente usted no habilitaría.
¿Por qué es importante Kubernetes Security Posture Management?
Como parte de una estrategia más amplia de seguridad de Kubernetes, KSPM aborda varias consideraciones importantes de seguridad.
Detección de errores humanos y descuidos
KSPM es una solución para verificar la seguridad de las configuraciones que se utilizan para gestionar los recursos de Kubernetes. Por mucho que los ingenieros se esfuercen en asegurarse de que las configuraciones que crean sean seguras, siempre existe el riesgo de que un error humano o un descuido den lugar a configuraciones que no sean tan seguras como sería de esperar.
KSPM ayuda a los equipos a identificar y subsanar estos errores antes de que den lugar a brechas de seguridad.
Gestión de la seguridad a medida que evolucionan los clústeres
Kubernetes es una tecnología que evoluciona muy rápidamente, por lo que las configuraciones que son seguras para una versión de Kubernetes pueden dejar de serlo al actualizar a una nueva versión.
Por ejemplo, Kubernetes anunció en 2021 que las políticas de seguridad de pod, que en su día fueron un recurso fundamental para aplicar ciertos tipos de control de acceso a los pods, dejarán de ser válidas. Las versiones actuales de Kubernetes siguen aplicando las políticas de seguridad de pod, pero el soporte finalizará con la versión 1.25. Si todavía utiliza políticas de seguridad de pod cuando actualice a la versión 1.25, una herramienta KSPM le advertirá de que Kubernetes no tendrá en cuenta sus políticas y le aconsejará que las reemplace por herramientas como los contextos de seguridad de Kubernetes o controladores de admisión personalizados.
Validación de configuraciones de terceros
Kubernetes es un ecosistema en el que los equipos toman prestados o importan recursos de forma rutinaria desde el upstream. Por ejemplo, puede extraer imágenes de containers de un registro público de Docker Hub o aplicar un fichero de despliegue que haya encontrado en GitHub. Los desarrolladores de terceros que crean esos recursos pueden o no seguir las mismas convenciones de seguridad que su propio equipo.
KSPM ofrece un medio para escanear los recursos de terceros en busca de posibles problemas de seguridad. Además, le permite aprovechar los abundantes recursos que ofrece la comunidad de Kubernetes al mismo tiempo que gestiona los riesgos de seguridad asociados.
Aplicación del cumplimiento de Kubernetes
Dado que KSPM utiliza motores de políticas para evaluar las configuraciones e identificar los riesgos, es ideal para escenarios en los que las empresas necesitan cumplir con requisitos específicos de cumplimiento.
Por ejemplo, al elaborar políticas que garanticen que cualquier dato gestionado o al que se acceda mediante Kubernetes se almacene de forma que cumpla con marcos como HIPAA o el GDPR, las empresas pueden automatizar la gestión del cumplimiento dentro de sus clústeres de Kubernetes.
¿Cómo funciona Kubernetes Security Posture Management?
Aunque las diferentes herramientas pueden adoptar un enfoque algo diferente de KSPM, los workflows de KSPM se reducen a varios pasos clave.
Definir reglas de seguridad
Por lo general, las herramientas de KSPM se basan en políticas que definen los riesgos de seguridad y cumplimiento. La mayoría de las herramientas de KSPM incluyen un conjunto de políticas, en tanto que los administradores pueden definir las suyas propias.
Escanear configuraciones
Las herramientas KSPM escanean automáticamente un entorno Kubernetes utilizando reglas de seguridad y cumplimiento. Para cada recurso que evalúan, buscan configuraciones que incumplan las reglas predefinidas.
Lo ideal es que el escaneo de configuraciones se realice de forma continua para poder identificar los riesgos en tiempo real cada vez que se introduzca una nueva configuración o se actualice una existente.
Detectar, evaluar y alertar
Cuando se detecta una infracción de la política, las herramientas de KSPM suelen evaluar su nivel de gravedad y, a continuación, generar una alerta o notificación si el nivel de gravedad merece una notificación inmediata y en tiempo real. Los problemas de menor gravedad pueden simplemente registrarse en un registro que el equipo puede revisar más tarde.
Corregir
Tras recibir la notificación de una infracción de la política de seguridad o de cumplimiento, los ingenieros investigan y corrigen el problema. En algunos casos es posible utilizar herramientas avanzadas de KSPM para corregir los problemas automáticamente, por ejemplo, modificando un archivo RBAC problemático para mejorar la seguridad.
KSPM vs. CSPM
La relación entre la gestión de la postura de seguridad de Kubernetes y la gestión de la postura de seguridad en la nube es subjetiva. Se podría argumentar que KSPM es un componente de CSPM, puesto que los entornos Kubernetes se suelen ejecutar en la nube.
O bien considerar que KSPM es un dominio distinto, porque Kubernetes no necesita ejecutarse en la nube (puede desplegarse localmente) y los tipos de recursos y configuraciones que KSPM valida (como las políticas RBAC de Kubernetes) son diferentes de los recursos que CSPM puede proteger (como las políticas de IAM y las configuraciones de red en la nube).
Sin embargo, independientemente de cuál sea su opinión sobre la relación entre KSPM y CSPM, lo importante es entender que KSPM aborda los riesgos de seguridad y cumplimiento exclusivos de Kubernetes, mientras que CSPM ayuda a gestionar los riesgos en otros tipos de entornos nativos de la nube. Si utiliza Kubernetes, necesitará una herramienta de seguridad que ofrezca funcionalidades específicas de KSPM.
Cómo sacar el máximo partido a KSPM
Aunque el despliegue de una herramienta KSPM para ayudar a monitorear su entorno Kubernetes es el primer paso para mitigar los riesgos de seguridad y cumplimiento, no está de más que los equipos deben sigan algunas mejores prácticas importantes para aprovechar al máximo KSPM.
Escanee continuamente
Como indicamos anteriormente, se debe realizar un escaneo continuo de las configuraciones. Los entornos Kubernetes tienden a cambiar constantemente a medida que se redistribuyen los containers, se añaden o modifican los namespaces, se crean o eliminan usuarios y cuentas de servicios, etc.
Realizar escaneos continuos le permite detectar los problemas de seguridad poco después de que aparezcan; por lo tanto, es mucho mejor que escanear periódicamente.
Mantenga sus reglas actualizadas
Los riesgos de seguridad y cumplimiento de Kubernetes evolucionan constantemente. Y también las configuraciones de Kubernetes. Si sus herramientas de KSPM se basan en reglas que fueron diseñadas para una versión anterior de Kubernetes, o que simplemente están obsoletas, es posible que no logren detectar los tipos de riesgos más recientes.
Evite este problema utilizando reglas de política que se actualicen continuamente a medida que cambia el panorama de amenazas de Kubernetes.
Clasifique los riesgos
No todos los riesgos de seguridad y cumplimiento en Kubernetes presentan la misma gravedad. Si se permite que un container se ejecute en modo privilegiado probablemente el riesgo sea mayor que si se otorga a un usuario por error permisos de lista para los pods, por ejemplo.
Para ayudar a su equipo a identificar y abordar primero los riesgos más graves, utilice herramientas y políticas de KSPM que además de detectar los riesgos, también los clasifiquen según su nivel de gravedad.
No confíe solamente en KSPM
KSPM es un ingrediente de la estrategia de seguridad de Kubernetes, pero no es el único. No sustituye la seguridad en tiempo de ejecución, que ayuda a detectar las amenazas activas dentro de su entorno. Ni tampoco se ocupa de riesgos como el malware en los containers, que es una amenaza que puede gestionarse mediante el escaneo de imágenes de containers.
Lo importante aquí es que será necesario desplegar un amplio conjunto de herramientas de seguridad para Kubernetes.
Como parte de una estrategia más amplia de seguridad de Kubernetes, KSPM permite a los equipos validar la seguridad de las configuraciones de Kubernetes para identificar y corregir los errores que podrían desencadenar una brecha. Mediante el escaneo continuo y automático de las configuraciones de Kubernetes, los administradores pueden mitigar uno de los vectores de ataque más comunes –el error humano– y, al mismo tiempo, automatizar el cumplimiento de la normativa incluso en los clústeres de Kubernetes más complejos.