Seguridad de Kubernetes con Sysdig Secure

Integre seguridad y valide el cumplimiento normativo con Secure DevOps


Obtenga la lista de comprobación de seguridad de Kubernetes

¡NUEVO! 2022 Informe de seguridad y utilización de tecnologías nativas de la nube

Ejecución fiable en Kubernetes

Sysdig Secure le ofrece la visibilidad que necesita para asegurar sus aplicaciones modernas creadas con contenedores, Kubernetes y servicios en la nube. Asegure la el pipeline de compilación, detecte y responda a amenazas en tiempo de ejecución, refuerce la segmentación de la red nativa de Kubernetes y valide continuamente el cumplimiento normativo. Sysdig Secure es una oferta SaaS creada sobre una pila de código abierto que incluye Falco y Sysdig OSS.

Kubernetes Security Image Scanning

Escaneo
de imágenes

Automatice el escaneo local en sus herramientas CI/CD sin que las imágenes salgan de su entorno y bloquee vulnerabilidades antes de la implementación.

Kubernetes Security Compliance

Cumplimiento
normativo

Validación de cumplimiento normativo frente a estándares como PCI, NIST y SOC2 en todo el ciclo de vida de los contenedores y Kubernetes.


Kubernetes Security Runtime Security

Seguridad en tiempo
de ejecución

Detección de amenazas en contenedores, Kubernetes e infraestructura de AWS con reglas Falco listas para usar basadas en llamadas al sistema, registros de auditoría K8s y AWS CloudTrail.

Network Security

Seguridad
de la red

Visualice todas las comunicaciones en la red entre aplicaciones y servicios. Aplique microsegmentación automatizando las políticas de red nativas de Kubernetes.

Kubernetes Security Incident Response and Forensics

Respuesta a incidentes y análisis forense

Dirija las investigaciones con datos de llamadas al sistema de bajo nivel incluso una vez que el contenedor haya desaparecido.



Prevención de imágenes peligrosas a través del control de admisión

El control de admisión de Sysdig le permite bloquear imágenes no escaneadas o vulnerables para que no sean implementadas en el clúster. Defina criterios basados en condiciones flexibles (como namespaces, nivel de gravedad de CVE, disponibilidad de un parche, tamaño de imagen, etc.) para aprobar o no la imagen.

Sysdig Secure también evita antes las vulnerabilidades gracias a la integración del escaneo de imágenes en los registros y las CI/CD pipelines.

Control de acceso de privilegios mínimos para cargas de trabajo

PodSecurityPolicy (PSP) es un mecanismo nativo de Kubernetes para prevenir amenazas y aplicar el cumplimento normativo. Sysdig crea automáticamente un PSP de privilegios mínimos para su aplicación y lo valida antes de que lo aplique en la producción sin impacto en el rendimiento. Un PSP de privilegios mínimos le permite:

  • Prevenir la creación de pods privilegiados y controlar la elevación de privilegios
  • Restringir el acceso a los namespaces de host, red y sistema de archivos a los que el pod pueda acceder
  • Restringir los usuarios/grupos con los que se pueda ejecutar un pod
  • Limitar los volúmenes a los que un pod pueda obtener acceso
  • Restringir otros parámetros, como perfiles de tiempo de ejecución o sistemas de archivos raíz de solo lectura

Validación de la configuración con comparativas de CIS

Valide la configuración de clúster basada en comparativas de CIS para Kubernetes. Resuelva infracciones más rápidamente con corrección guiada. Ejecute evaluaciones a petición y genere informes detallados para superar fácilmente auditorías de terceros.

Detección de amenazas en tiempo de ejecución

Detecte actividad anómala empleando políticas impulsadas por la comunidad (como MITRE, FIM, criptominado, etc.) basadas en Falco, de código abierto. Cree reglas precisas empleando contexto enriquecido del proveedor de nube y entornos Kubernetes. Ahorre tiempo con las reglas listas para usar y la generación de perfiles de imagen basados en ML en lugar de crear políticas desde cero.

Seguridad de API con registros de auditorías

Cree alertas sobre quién ha hecho qué en el nivel de API de Kubernetes basado en los registros de auditoría de API. Por ejemplo, detecta lo siguiente:

  • Creación y destrucción de pods, servicios, implementaciones, conjuntos de demonios, etc.
  • Crear/actualizar/eliminar mapas de configuración o secretos
  • Intentos de suscripciones a cambios en cualquier extremo

Microsegmentación nativa de Kubernetes

Genere automáticamente políticas de red de privilegios mínimos empleando aplicaciones complejas y metadatos Kubernetes. Confirme visualmente la topología antes de aplicarla en la producción. Emplee una interfaz sencilla para modificar fácilmente políticas sin cambiar el YAML manualmente.

Visibilidad detallada de Kubernetes

Obtenga una visibilidad detallada de las apps y servicios en Kubernetes empleando para ello mapas de topología dinámica. Visualice datos de llamadas al sistema (como conexiones, latencia, uso de CPU, etc.) con Kubernetes y contexto de nube.

Respuesta a incidentes y análisis forense

Ofrezca respuesta a incidentes empleando datos granulares enriquecidos con Kubernetes y metadatos de la nube. Por ejemplo, haga el seguimiento de un kube-exec de un usuario hasta la propia la actividad del sistema (comandos ejecutados, conexiones efectuadas, actividad de archivo, etc.)

Vulnerabilidades de seguridad en Kubernetes

Nuevas vulnerabilidades en Kubernetes continúan siendo identificadas. Lee más sobre los últimos CVEs afectando a tus clusters y cómo reducir los riesgos.

Detecting CVE-2020-14386 with Falco and mitigating potential container escapes
Detect CVE-2020-8557 using Falco
Understanding and mitigating CVE-2020-8566: Ceph cluster admin credentials leaks…

See all CVE blogs

¡Comienza tu prueba gratuita de 30 días en solo unos minutos!

Acceso completo a todas las opciones y funciones. No se necesita tarjeta de crédito.

FAQ

Q: ¿Qué es Kubernetes?

A: Kubernetes es una plataforma de código abierto para administrar la implementación automatizada de contenedores, escalar, cargas de trabajo y servicios. Originalmente desarrollada por Google y mantenida ahora por la CNCF (Cloud Native Computing Foundation), el objetivo de Kubernetes es el de automatizar las operaciones, la implementación y el escalado de contenedores de aplicaciones en los clústeres de los hosts. Muchos servicios en la nube ofrecidos por distintos proveedores cuentan también con su propia versión de Kubernetes.

Q: ¿Por qué usar Kubernetes?

A: Los contenedores son una forma muy eficaz de agrupar y ejecutar sus aplicaciones. En los ajustes de producción existe la necesidad de administrar contenedores que ejecuten sus aplicaciones sin tiempos de inactividad. Kubernetes es un marco que administra con solidez tanto sistemas distribuidos como el escalado y la conmutación por error de sus aplicaciones contenedoras. Kubernetes almacena y administra información sensible, reinicia contenedores que fallan, automatiza reversiones y lanzamientos y gestiona montajes automatizados de sistemas de almacenamiento.

Q: ¿Qué es la seguridad de Kubernetes?

A: Los mecanismos de seguridad de Kubernetes le protegen contra ataques basados en contenedores. Estos ataques suelen ser perpetrados por hackers que se aprovechan de vulnerabilidades de seguridad en las imágenes de base para contenedores o, incluso, de bibliotecas de terceros. También pueden deberse a errores de configuración en el clúster que permiten que la actividad maliciosa pase desapercibida en tiempo de ejecución o que causan que las aplicaciones nativas de la nube no cumplan con las normas. Como resultado de ello, sus equipos necesitan integrar la seguridad y el cumplimiento en todo el ciclo de vida de Kubernetes. Los controles nativos, como PodSecurityPolicies, ayudan a evitar la escalación de privilegios y bloquean amenazas en tiempo de ejecución. Con Falco, de código abierto, podrá detectar y alertar sobre actividades maliciosas en tiempo de ejecución. Una herramienta de seguridad de Kubernetes que forme parte de su ecosistema DevOps puede ayudarle a gestionar los riesgos de seguridad en la nube.

Q: ¿Qué es un clúster de Kubernetes?

Kubernetes agrupa varios nodos en un clúster para ejecutar aplicaciones nativas de nube. El clúster de Kubernetes contiene, como mínimo, un nodo maestro y un nodo de trabajo. El nodo maestro mantiene el estado deseado del clúster, como las aplicaciones que se están ejecutando y las imágenes de contenedor que usan, y también controla directamente el nodo de trabajo. Los nodos de trabajo ejecutan las aplicaciones y las cargas de trabajo. Cuando implementa programas en el clúster, el nodo maestro gestiona con inteligencia la distribución de trabajo a los nodos individuales. Si se añade o elimina cualquier nodo, Kubernetes administrará automáticamente su clúster para que coincida con el estado deseado.

Q: ¿Cuál es la diferencia entre Kubernetes y Docker?

Básicamente, Kubernetes y Docker son dos tecnologías distintas que funcionan bien juntas para la compilación, entrega y escalado de aplicaciones en contenedor. Docker empaqueta software o microservicios en un contenedor para hacerlos más portables. Kubernetes es el orquestador que le ayuda a escalar y gestionar múltiples contenedores Docker a escala.

“Que Sysdig fuera inmediatamente compatible con Kubernetes fue un gran atractivo para nosotros. Gran parte de la seguridad que rodea a Kubernetes es nueva y un tanto difícil de comprender al principio. Sysdig ayuda con muchos de estos aspectos, lo que nos ahorra gran parte de la administración de la arquitectura Sysdig. Esto nos hace la vida más fácil y nos permite centrarnos en depurar nuestra propia arquitectura.”

Ryan Staatz, Systems Architect at LogDNA

Leer el caso práctico