6 grandes contenedores de Kubernetes, la seguridad comienza en AWS re: Invent 2021

Amazon Web Services (AWS) y sus socios de ciberseguridad ponen un gran énfasis en la seguridad de los contenedores de Kubernetes en los lanzamientos de sus productos en la conferencia re: Invent 2021 de esta semana.

Los anuncios incluyeron la expansión de las herramientas de seguridad de AWS para incluir contenedores, un nuevo mercado de AWS para aplicaciones en contenedores que ofrece beneficios de seguridad y una vista previa de las protecciones futuras para cargas de trabajo de contenedores para Amazon Elastic Kubernetes Service (EKS).

«A medida que aumenta la adopción de contenedores, también lo hace la necesidad de una seguridad de contenedores escalable y fácil de administrar», dijo Stephen Schmidt, director de seguridad de la información de AWS, durante re: Invent.

AWS «escuchó esta noticia», dijo, y el proveedor de la nube «ahora está desarrollando conjuntos de funciones que abordan los entornos de contenedores».

Oleada de contenedores

Una encuesta realizada por la Cloud Native Computing Foundation encontró que el uso de contenedores en la producción ha aumentado en un 300% desde 2016, con el 92% de las empresas que utilizan contenedores en producción en 2020. Esto hace que los contenedores sean un objetivo tentador para los atacantes cibernéticos: un estudio reciente de Aqua Security encontró que el 50% de las nuevas instancias de Docker mal configuradas son atacadas dentro de los 56 minutos posteriores a la instalación de las botnets.

En re: Invent, Schmidt dijo que, dado el uso cada vez mayor y las amenazas que rodean a los contenedores, existe claramente «una necesidad de nuevas herramientas de seguridad que sean relevantes para esta área en particular».

Es muy bienvenido que AWS se concentre en mejorar las capacidades de seguridad para la tecnología de contenedores utilizada con AWS, la plataforma de orquestación de contenedores de Kubernetes dominante en la actualidad, dijo George Burns, consultor senior de operaciones en la nube en SPR, un socio de consultoría avanzada de AWS.

Si bien la protección de las aplicaciones tradicionales «sigue procesos muy establecidos, la protección de los contenedores no se aplica», dijo Burns a VentureBeat. «Así que una gran parte de las innovaciones que veremos en los próximos ciclos estarán relacionadas con la seguridad de los contenedores».

Los siguientes son seis lanzamientos de seguridad de contenedores de Kubernetes de Amazon Web Services y socios en re: Invent 2021.

Detección de amenazas para cargas de trabajo de contenedores

AWS planea lanzar nuevas capacidades de detección de amenazas para cargas de trabajo de contenedores en el primer trimestre de 2022. Schmidt dijo que la compañía no suele anunciar previamente funciones que aún están en desarrollo. Sin embargo, dada la creciente importancia de la seguridad de los contenedores, el gigante de la nube está haciendo una excepción cuando se trata de presentar sus nuevas capacidades de detección de amenazas de contenedores, dijo.

Las primeras nuevas capacidades de detección de amenazas de contenedores que se implementarán en el primer trimestre de 2022 incluyen la expansión del servicio de detección de amenazas de Amazon GuardDuty a los registros de auditoría de Amazon Elastic Kubernetes Service (EKS), dijo.

“Esto brinda a los clientes una detección inteligente de amenazas para sus cargas de trabajo de contenedores: escaneo en busca de implementaciones de recursos inusuales [and] Cosas como cambios de configuración maliciosos o intentos de autorización cada vez mayores ”, dijo Schmidt.

La compañía espera que le sigan los informes de su Inspector de Amazon para el Registro de Contenedores Elásticos de Amazon (ECR), dijo. AWS también planea expandir el servicio Amazon Detective, que «llevará sus análisis de investigación al espacio de contenedores en un futuro cercano», dijo.

Gestión de vulnerabilidades para cargas de trabajo de contenedores

En re: Invent, AWS anunció una expansión de su servicio de administración de vulnerabilidades Amazon Inspector para incluir cargas de trabajo de contenedores. Amazon Inspector ahora puede evaluar cargas de trabajo de contenedores basadas en ECR además de cargas de trabajo de Elastic Compute Cloud (EC2), según AWS.

Además, los escaneos de evaluación con Amazon Inspector ahora se llevan a cabo de forma continua y automática y, según la compañía, reemplazan los escaneos manuales que solo se realizan a intervalos regulares.

El uso de Amazon Inspector actualizado permite el descubrimiento automático y comienza con una evaluación continua de las cargas de trabajo de contenedores basadas en ECR y las cargas de trabajo de EC2 de un cliente.

Proteger los contenedores de los registros públicos

Para ayudar a los equipos de desarrollo a realizar copias de seguridad de contenedores obtenidos de registros de acceso público, AWS anunció la compatibilidad con repositorios de caché de extracción en Amazon Elastic Container Registry.

El soporte «proporcionará a los desarrolladores el rendimiento, la seguridad y la disponibilidad mejorados de Amazon Elastic Container Registry para imágenes de contenedores obtenidas de registros públicos», dijo AWS en un blog.

«Las imágenes en los repositorios de caché extraíbles se sincronizan automáticamente con los registros públicos ascendentes, lo que elimina el trabajo manual de arrastrar imágenes y actualizarlas con regularidad», dice el blog. «Los repositorios de caché de extracción aprovechan las funciones de seguridad integradas en Amazon Elastic Container Registry, como claves, replicación entre regiones y políticas de ciclo de vida».

AWS Marketplace para contenedores en todas partes

AWS lanzó un nuevo mercado en re: Invent 2021, AWS Marketplace for Containers Anywhere, que permite a los clientes encontrar aplicaciones en contenedores de terceros que han sido examinadas y analizadas para detectar problemas de seguridad. Luego, estas aplicaciones se pueden implementar en Amazon Elastic Container Service (Amazon ECS) y Amazon Elastic Kubernetes Service (Amazon EKS).

“Muchos clientes que ejecutan aplicaciones de Kubernetes en AWS desean implementarlas localmente debido a limitaciones como la latencia y los requisitos de gobierno de datos. También necesitan herramientas adicionales después de la implementación de la aplicación Kubernetes para controlar la aplicación a través del seguimiento de licencias, facturación y actualizaciones ”, escribió AWS en una publicación de blog.

AWS Marketplace for Containers Anywhere permite a los clientes implementar aplicaciones de Kubernetes de terceros «en cualquier clúster de Kubernetes en cualquier entorno», según la empresa. «Esta función hace que AWS Marketplace sea más útil para los clientes que ejecutan cargas de trabajo en contenedores».

Los clientes pueden implementar aplicaciones de Kubernetes de terceros en entornos locales a través de Amazon EKS Anywhere o en cualquier clúster de Kubernetes administrado por el cliente en las instalaciones o en Amazon EC2, según AWS. En última instancia, esto permite a los clientes «utilizar un único catálogo para encontrar imágenes de contenedores sin importar dónde se vayan a implementar», dijo la compañía.

La seguridad es uno de los beneficios más importantes para los clientes de AWS Marketplace for Containers Anywhere, dijo Gaurav Rishi, vicepresidente de producto de Kasten by Veeam, un proveedor de protección de datos de Kubernetes que participa en el nuevo mercado. Todas las aplicaciones que figuran en el mercado se analizan en busca de vulnerabilidades y exposiciones comunes (CVE) para proporcionar «mayor seguridad», dijo Rishi en un correo electrónico a VentureBeat.

Soluciones seguras en el mercado de Containers Anywhere

Muchos de los primeros socios proveedores que lanzaron aplicaciones al mercado en AWS Marketplace for Containers Anywhere elogiaron las funciones de seguridad adicionales integradas de sus aplicaciones:

• Tecnologías HAProxy: Enterprise Ingress Controller, un equilibrador de carga de software para entregar aplicaciones y sitios web con alto rendimiento, seguridad y observabilidad.
• Isovalente: Productos empresariales y de código abierto, incluidos Cilium y eBPF, que abordan problemas de seguridad, red y observabilidad para infraestructuras nativas de la nube.
• JFrog: «Software fluido» que tiene como objetivo «respaldar las actualizaciones de software del mundo a través del flujo seguro y sin interrupciones de binarios desde los desarrolladores hasta el borde».
• Caja de Veeam: la plataforma de gestión de datos box K10, que está “especialmente diseñada” para Kubernetes como un “sistema simple, escalable y seguro para respaldo y recuperación, recuperación ante desastres y movilidad de aplicaciones”.
• Nirmata: Productos empresariales y de código abierto para «seguridad basada en políticas y automatización de clústeres y cargas de trabajo de producción de Kubernetes».
• Redes de Palo Alto: Firewall de nueva generación de contenedores de la serie CN, que fue «diseñado específicamente para proteger el entorno de Kubernetes de los ataques basados ​​en la red».
• Prosimo: Jumpstart, que reúne las redes en la nube, la seguridad, el rendimiento, la capacidad de observación y la gestión de costes para «reducir la complejidad y el riesgo de la implementación de la nube empresarial».

Integraciones para la seguridad de Kubernetes

Durante re: Invent 2021, varios socios proveedores también anunciaron nuevas integraciones que pueden ayudar a proteger el uso de Kubernetes. Estos incluyeron:

• Snyk: anunció que AWS ha integrado su servicio de inteligencia de vulnerabilidades Snyk Security Intelligence en la herramienta Amazon Inspector actualizada. Según Snyk, los beneficios para el cliente incluyen una seguridad mejorada para Kubernetes. Los usuarios pueden «garantizar una fuente unificada y superior de datos de vulnerabilidad para la seguridad de AWS (Amazon Inspector) y herramientas de desarrollo (AWS CodeSuite, Amazon ECR, Amazon Elastic Kubernetes Service y AWS Lambda)», dijo la compañía en un comunicado de prensa.
• Axonius: anunció que se integrará con la actualización de Amazon Inspector. Las características incluyen la capacidad de «identificar todos los activos de AWS que no han sido evaluados con Amazon Inspector», incluidas las imágenes de contenedores que están en Amazon ECR, dijo la compañía en un comunicado de prensa.
• Ciber volcánico: también anunció la integración con el Amazon Inspector mejorado, con funciones como la creación de evaluaciones de riesgo para cada vulnerabilidad descubierta. «Las vulnerabilidades encontradas en las imágenes de los contenedores se envían a Amazon ECR para que los propietarios de los recursos las vean y corrijan», dijo la compañía en un comunicado de prensa.
• Tigera: anunció una integración de su plataforma de seguridad y observabilidad nativa de la nube Calico Cloud con la herramienta de gobierno y seguridad de múltiples cuentas AWS Control Tower. La integración facilita la adquisición de «seguridad de clúster adicional, controles granulares de acceso a cargas de trabajo, capacidad de observación en vivo y capacidad de resolución de problemas en tiempo real para los clústeres de Amazon Elastic Kubernetes Service (EKS)», dijo la compañía en un comunicado de prensa.
• Seguridad Anjuna: anunció que su software Confidential Cloud, que aprovecha la protección de hardware para proporcionar aislamiento de datos físicos, ahora se puede utilizar junto con el servicio de ejecución aislada de AWS Nitro Enclaves para ejecutar de forma segura cargas de trabajo de Kubernetes en AWS. Esto proporciona una «manera fácil para que las organizaciones de TI corporativas ejecuten cargas de trabajo de Kubernetes en AWS Nitro Enclaves», dijo la compañía en un comunicado de prensa.