Seguridad de contenedores con Sysdig Secure

Seguridad y cumplimiento normativo integrados
en DevOps


Obtenga la lista de comprobación de seguridad de Kubernetes

Tour de productos

¡NUEVO! 2022 Informe de seguridad y utilización de tecnologías nativas de la nube

Saber más

Elimine la brecha de visibilidad y de seguridad de los contenedores

Image Scanning

Escaneo
de imágenes

Escaneo automatizado local en sus herramientas CI/CD y marcado de las nuevas vulnerabilidades en tiempo de ejecución

Compliance

Cumplimiento normativo
continuo

Validación de cumplimiento normativo frente a estándares como PCI, NIST y SOC2 en todo el ciclo de vida de los contenedores y Kubernetes

Runtime Security

Seguridad
en tiempo de ejecución

Detección de amenazas en contenedores, Kubernetes y estructura de AWS con reglas Falco listas para usar basadas en llamadas al sistema, registros de auditoría K8s y AWS CloudTrail

Incident Response and Forensics

Respuesta a incidentes y análisis forense

Dirección de investigaciones con datos de llamadas al sistema de bajo nivel incluso una vez que el contenedor haya desaparecido

Saber más
Saber más
Saber más
Saber más

Reciba la última información sobre seguridad de nuestra instantánea de seguridad de contenedores 2020. Lee ahora

Seguridad de contenedores con Sysdig Secure

Sysdig Secure integra la seguridad y el cumplimiento normativo en cada fase del ciclo de vida del contenedor.

Escaneo de imágenes

Dado que a día de hoy el software se ensambla en lugar de crearlo desde cero, sus desarrolladores emplean imágenes basadas en código abierto y bibliotecas de terceros para compilar y escalar aplicaciones en contenedor. Profundizar en los 12 procedimientos recomendados de escaneo de imágenes que se pueden adoptar en la producción.

Sysdig Secure evita antes las vulnerabilidades conocidas gracias a la integración del escaneo en los registros y las canalizaciones CI/CD. También marca las nuevas vulnerabilidades identificadas en tiempo de ejecución, las asigna a aplicaciones específicas e identifica al equipo que tiene que solucionarlas. Utilice las reglas de escaneo de seguridad Docker listas para usar de Sysdig. Estas ahorran tiempo al encontrar vulnerabilidades de gravedad alta tanto de OS como no OS, errores de configuración y malas prácticas de seguridad.

Container Security Image Scanning
Container Security Runtime Security

Seguridad en tiempo de ejecución

Otro requisito de seguridad crítico de los contenedores es la capacidad de detectar y alertar sobre actividad maliciosa en tiempo de ejecución, como por ejemplo:

  • Puntos débiles de vulnerabilidades sin parches de seguridad o de día cero
  • Configuraciones no seguras
  • Credenciales filtradas o débiles
  • Amenazas internas

Con Falco, de código abierto, podrá crear reglas de detección flexibles para definir un comportamiento inesperado dentro de los contenedores. Estas reglas se pueden enriquecer mediante contexto del proveedor de nube y entornos Kubernetes. Sus equipos podrán aprovechar las detecciones obtenidas a través de las ricas aportaciones de la comunidad en lugar de crear políticas desde cero. Así, podrá crear alertas tan solo conectando Falco a sus procesos y flujos de trabajo de respuesta de seguridad actuales.

Sysdig Secure amplía el motor de código abierto Falco y ahorra tiempo creando y manteniendo políticas de detección en tiempo de ejecución. También emplea aprendizaje automático para perfilar automáticamente imágenes de contenedores y que usted no tenga que crear reglas desde cero.

Continuous Compliance

El cumplimiento normativo de los contenedores es un requisito clave que se debe comprobar antes de pasar a la producción. Los desafíos más habituales que escuchamos a los equipos de DevOps a la hora de validar el cumplimiento normativo de los contenedores son:

  • Incapacidad de asignar estándares de cumplimiento normativo a controles específicos en entornos de nube
  • Incomprensión de sus procesos de cumplimiento normativo o de si pasarían una auditoría
  • No se sabe qué equipos son los responsables de qué controles de cumplimiento normativo
  • No se puede mostrar ninguna prueba de cumplimiento normativo en los entornos de los contenedores

Todas estas tareas de cumplimiento normativo consumen tiempo y recursos y, en última instancia, ralentizan la implementación de la aplicación. Sysdig Secure asigna estándares de cumplimiento normativo (como PCI, NIST o SOC2) a controles específicos de contenedores y entornos Kubernetes. Las evaluaciones a petición, los paneles y los informes hacen que sea más sencillo pasar auditorías de terceros. Lea más sobre cómo validar continuamente el cumplimiento normativo de los contenedores frente a estándares como PCI, NIST o SOC2 a lo largo de todo el ciclo de vida de contenedores y Kubernetes.

Container Security Compliance
Container Security Incident Response

Respuesta a incidentes

Cuando se pone en práctica una respuesta a incidentes, responder a las cuestiones de «por qué» es algo especialmente complicado dada la naturaleza distribuida y dinámica de los entornos de contenedores y Kubernetes. Sus equipos tendrán que encontrar el equilibrio entre definir políticas de tiempo de ejecución precisas y no ahogarse en un mar de alertas.

Reconocer la causa principal de un evento malintencionado en un contenedor exige que su herramienta de seguridad de contenedores proporcione información detallada. Sysdig aporta completos datos forenses accediendo a las llamadas al sistema Linux, esenciales para un análisis forense completo incluso una vez que el contenedor haya desaparecido. Estos datos de bajo nivel le permiten responder a preguntas difíciles sobre qué archivos se han tocado, qué comandos se han ejecutado, qué conexiones se han establecido y mucho más. Vea cómo registrar una instantánea de la actividad previa y posterior a un ataque dentro de contenedores y cómo poner en práctica una completa respuesta a un incidente y un análisis forense.

Integrado en su flujo de trabajo DevOps

Sysdig es una plataforma SaaS First basada en código abierto que se integra automáticamente en su pila DevOps.

Code

Infrastructure as Code (IaC)

Sysdig Secure Infrastructure as Code (IaC) security integrates directly into your CI/CD pipeline and prevents misconfigurations, noncompliance, and security risks before runtime.

Build

Vulnerabilities
Configuration

CI/CD Tools

Sysdig Secure image scanning integrates directly into your CI/CD pipeline and prevents images with vulnerabilities or misconfigurations from being shipped.

Registry

Sysdig Secure container image scanning supports all Docker v2 compatible registries. It ensures an up to date risk posture and identifies images that need to be rebuilt if new vulnerabilities are introduced.

Run

Metrics
Events
Security Policies

Applications

Sysdig provides runtime security, infrastructure and application monitoring to help you ship cloud applications faster to production.

Cloud

Sysdig secures and monitors containers on multiple cloud platforms.

Sysdig ServiceVision enriches container data with the metadata from the cloud providers.

Orchestrator

Sysdig supports any orchestrator, multiple Kubernetes distributions, as well as managed platforms.

Sysdig ServiceVision enriches container data with the metadata from Kubernetes/orchestrators. Sysdig uses the native facilities of Kubernetes for policy enforcement and threat prevention.

Infrastructure

Sysdig ContainerVision provides deep visibility into all container activity via a lightweight instrumentation model that collects low level system call data.

Respond

Alerts
Audit
Logs
Events
Syscall
Captures

Alerts

Configure flexible alerts on image scanning failures, runtime anomalous activity, troubleshooting issues etc through channels you already use (e.g., Slack, PagerDuty, SNS, etc.).

SIEM and SOAR Integrations

Sysdig automatically forwards events to your SIEM tool giving SOC analysts deep visibility into container and Kubernetes incidents. It also integrates with SOAR platforms (Demisto, Phantom) as part of automated security playbooks.

SaaS

Self-hosted

Sysdig Secure DevOps Platform

Confidently run cloud-native workloads in production using the Sysdig Secure DevOps Platform. With Sysdig, you can embed security, validate compliance and maximize performance and availability. The Sysdig platform is open by design, with the scale, performance and usability enterprises demand.

Free Trial Laptop no shadow

¡Comienza tu prueba gratuita de 30 días en solo unos minutos!

Acceso completo a todas las opciones y funciones. No se necesita tarjeta de crédito.

Prueba Gratuita

Frequently Asked Questions

Q: ¿Qué es la seguridad de contenedores?

A: Es el proceso de implementación de seguridad y cumplimiento normativo en todos los niveles del ciclo de vida de los contenedores. Esto incluye el escaneo de imágenes de contenedor en las canalizaciones CI/CD y los registros, así como garantizar la seguridad en tiempo de ejecución para contenedores y hosts. La respuesta a incidentes con datos forenses completos que capturen toda la actividad del interior del contenedor también es un requisito clave. Los controles de cumplimiento normativo deben permitir a los equipos pasar una auditoría en cualquier momento.

Q: ¿Cómo aseguro Kubernetes?

A: Proteger las cargas de trabajo en Kubernetes incluye asegurar numerosos componentes del clúster. Las vulnerabilidades en sus paquetes base OS o no OS que los desarrolladores empleen para compilar aplicaciones pueden ser aprovechadas. Esto requiere el escaneo de las imágenes y la integración a través de los controladores de admisión para evitar la implementación de imágenes de riesgo. Otro componente que se debe asegurar es su plano de control Kubernetes (esto es, Controller Manager, etc.), al que se puede acceder a través de la API de Kubernetes y que exige una monitorización de seguridad y la auditoría de toda la actividad que tenga lugar al nivel del servidor de la API. Para conocer más detalles sobre la seguridad de Kubernetes, descargue nuestra lista de comprobación de seguridad de Kubernetes.

Q: ¿Cómo aseguro el host?

A: Incluso cuando ejecuta contenedores quiere asegurarse de que su configuración de host sea segura (acceso restringido y autenticado, comunicación encriptada, etc.). Recomendamos el uso de la herramienta de auditoría Docker Bench para comprobar la configuración de los procedimientos recomendados. También deberá mantener actualizado su sistema base y emplear sistemas de host mínimos y centrados en el contenedor para reducir su superficie expuesta a ataques. Más información aquí: 7 vulnerabilidades de seguridad de Docker

Q: ¿Cómo implemento la seguridad de contenedores en AWS (ECS, EKS, Fargate)?

A: La seguridad de contenedores en AWS requiere la implementación de seguridad en todos los niveles del ciclo de vida del contenedor. Esto incluye el escaneo automático de imágenes en el nivel del registro con Amazon ECR, pero también para las canalizaciones CI/CD con herramientas como AWS CodeBuild y CodePipeline. La seguridad en tiempo de ejecución en la producción con EKS y ECS detecta y bloquea las amenazas y vulnerabilidades de día cero tales como los intentos de elevación de privilegios. Implementar la detección de amenazas mediante AWS CloudTrail y Falco ayuda a alertar sobre cambios sospechosos en los permisos de usuario de AWS, cubos S3, claves de acceso, etc. Las comprobaciones de cumplimiento normativo en su infraestructura AWS y el ciclo de vida de las aplicaciones son clave para cumplir los estándares reguladores del cumplimiento. Y finalmente, registrar la actividad del contenedor a un nivel detallado le ayudará a comprender eventos y llevar a cabo análisis forenses incluso después de que los contenedores ya no estén.

Q: ¿Cómo implemento la seguridad de contenedores en RedHat OpenShift?

A: OpenShift proporciona una plataforma de contenedores segura y de clase empresarial. Sysdig aumenta los controles de seguridad de contenedores integrados en OpenShift con un escaneo ampliado de imágenes, seguridad en tiempo de ejecución y análisis forense de contenedores para reducir el riesgo de las implementaciones de contenedores críticos a escala.

Q: ¿Cómo implemento la seguridad de contenedores en Google Cloud?

A: Asegurar contenedores en Google Cloud ejecutando soluciones como GKE y Cloud Run exige una protección en todos los niveles del ciclo de vida de los contenedores. Esto incluye el escaneo automático de imágenes en el nivel del registro con GCR, pero también para las canalizaciones CI/CD con herramientas como Google Cloud Build. La seguridad en tiempo de ejecución en la producción con GKE y Cloud Run detecta y bloquea las amenazas y vulnerabilidades de día cero tales como los intentos de elevación de privilegios. Las comprobaciones de cumplimiento normativo en su infraestructura Google Cloud y el ciclo de vida de las aplicaciones son clave para cumplir con los estándares reguladores del cumplimiento. Y finalmente, registrar la actividad del contenedor a un nivel detallado le ayudará a comprender eventos y llevar a cabo análisis forenses incluso después de que los contenedores ya no estén.

Saber más

“We have a small team and a true DevOps model where we wear multiple hats. With Sysdig, it has been really easy because there hasn’t been a tradeoff between speed or security.”

VP of Engineering at Stella Connect