{"id":249197,"date":"2022-05-21T16:09:00","date_gmt":"2022-05-21T13:09:00","guid":{"rendered":"https:\/\/vpn.inform.click\/?p=249197"},"modified":"2023-06-19T03:59:31","modified_gmt":"2023-06-19T00:59:31","slug":"los-contenedores-estan-en-todas-partes-como-los-protege","status":"publish","type":"post","link":"https:\/\/vpn.inform.click\/es\/los-contenedores-estan-en-todas-partes-como-los-protege\/","title":{"rendered":"Los contenedores est\u00e1n en todas partes: \u00bfc\u00f3mo los protege?"},"content":{"rendered":"\n

Los contenedores aumentan en n\u00famero cada d\u00eda y parecen estar en todas partes, ya que las organizaciones est\u00e1n ansiosas por aprovechar los muchos beneficios que ofrecen, como el desarrollo \u00e1gil de aplicaciones y la implementaci\u00f3n<\/strong> en todas las plataformas.<\/p>\n

Muchos tambi\u00e9n creen que el uso de contenedores puede ayudarlos a minimizar las restricciones de seguridad debido a su naturaleza de vida corta. \u00bfEs esto cierto o simplemente otra percepci\u00f3n err\u00f3nea?<\/p>\n

Aunque los contenedores no tienen inseguridades inherentes, a menudo se implementan de manera no segura, lo que genera numerosos desaf\u00edos de seguridad.<\/p>\n

Desaf\u00edos de seguridad al implementar contenedores<\/h2>\n

La gran cantidad, la versatilidad y el estado ef\u00edmero de los contenedores desplegados, adem\u00e1s del hecho de que los contenedores deben comunicarse con otras entidades, hacen que las organizaciones no tengan la capacidad de poseer una visibilidad adecuada del tr\u00e1fico entre contenedores.<\/p>\n

Gracias a esta falta de visibilidad, los contenedores a menudo se olvidan y las medidas de prevenci\u00f3n de intrusiones y los controles de seguridad se vuelven ineficaces, lo que aumenta la superficie de ataque y, por lo tanto, el riesgo comercial general. Adem\u00e1s, la escasez de visibilidad puede resultar en una escasez de responsabilidad ya que los contenedores atraviesan diferentes entornos desde el desarrollo hasta la producci\u00f3n.<\/p>\n

Otro desaf\u00edo de seguridad relacionado con los contenedores es la mala gesti\u00f3n de vulnerabilidades. Por ejemplo, al clonar im\u00e1genes existentes para crear nuevos contenedores, sus vulnerabilidades tambi\u00e9n se replicar\u00e1n.<\/p>\n

Esto destaca la necesidad de que la seguridad sea una parte integral de la estrategia de contenedores de la organizaci\u00f3n<\/a>. De lo contrario, los errores de configuraci\u00f3n y los parches faltantes pueden ser la raz\u00f3n por la que se implementan y ejecutan im\u00e1genes no autorizadas en entornos de producci\u00f3n, lo que genera una mayor superficie de ataque y ataques m\u00e1s exitosos.<\/p>\n

Finalmente, dado que los contenedores usan un kernel de sistema operativo compartido, un compromiso del kernel del sistema operativo del host por parte de un contenedor deshonesto puede conducir a una p\u00e9rdida de acceso a todos o a cualquiera de los contenedores<\/a> en ejecuci\u00f3n en el host, as\u00ed como potencialmente a otros hosts en la red.<\/p>\n

C\u00f3mo asegurar sus contenedores<\/h2>\n

Quiz\u00e1s la mejor pr\u00e1ctica para proteger su entorno en contenedores es reconocer la necesidad de hacerlo. Excepto por este concepto fundamental, hay algunos buenos consejos a seguir para asegurar sus contenedores de manera efectiva.<\/p>\n

Tenga visibilidad de sus contenedores<\/h2>\n

Antes de implementar un contenedor, aseg\u00farese de comprender sus dependencias y lo que se incluye en \u00e9l. Para asegurarse de que las im\u00e1genes de su contenedor sean impecables, debe ganar visibilidad en cada etapa, desde el desarrollo hasta la producci\u00f3n.<\/p>\n

No confiar en el software de un contenedor es un excelente punto de partida. Debe verificarlo muy a fondo para comprender "de d\u00f3nde vienen, c\u00f3mo se produjeron y sus fuentes correspondientes", como se\u00f1al\u00f3 Dirk Hohndel, vicepresidente de VMware, en la Cumbre de Liderazgo de C\u00f3digo Abierto de 2019<\/a>.<\/p>\n

En pocas palabras, verifique dos veces el contenido de sus contenedores antes de implementarlos y nunca ejecute un contenedor con software desconocido u obsoleto. El hecho de que una imagen de contenedor afirme contener los mejores y m\u00e1s recientes programas y bibliotecas no significa que realmente los contenga.<\/p>\n

Una forma de mitigar este problema es utilizar aplicaciones que puedan ayudarte a limpiar tus contenedores<\/a>. Aunque no me gusta reinventar la rueda, tal vez el mejor enfoque sea dejar de usar las im\u00e1genes contenedoras de otras personas.<\/p>\n

Si, al igual que H\u00e9rcules, toma el camino m\u00e1s dif\u00edcil de la virtud y comienza a crear sus propias im\u00e1genes de contenedores, comprender\u00e1 mucho mejor lo que sucede dentro de los contenedores, lo que tiene beneficios m\u00e1s all\u00e1 de la seguridad.<\/p>\n

Controlar el acceso ra\u00edz<\/h2>\n

La mayor\u00eda de los contenedores est\u00e1n construidos con acceso de root por defecto. Sin embargo, esta es una pr\u00e1ctica cuestionable. Aunque es m\u00e1s f\u00e1cil para los desarrolladores ejecutar contenedores como root, existen enormes riesgos con el acceso de root.<\/p>\n

Hay varios enfoques para manejar este problema. Una forma es determinar una pol\u00edtica corporativa que establezca que nunca se permite que los contenedores se ejecuten como ra\u00edz. Una forma alternativa es ejercer el principio de privilegio m\u00ednimo. Puede especificar un usuario no root dentro del Dockerfile, cuando crea una imagen de contenedor, para ejecutar el contenedor como ese usuario espec\u00edfico con el acceso m\u00ednimo requerido al sistema.<\/p>\n

Finalmente, tambi\u00e9n puede usar el espacio de nombres de usuario<\/a> cuando ejecuta procesos de contenedores privilegiados para ayudar a proteger los contenedores. Con este m\u00e9todo, el UID para ejecutar estos procesos dentro del contenedor es cero (que es la ra\u00edz), pero fuera del contenedor, el UID es el 1000 sin privilegios.<\/p>\n

Comprobar el tiempo de ejecuci\u00f3n del contenedor<\/h2>\n

La \u00bb Gu\u00eda de seguridad de contenedores de aplicaciones<\/a> " SP 800-190 del Instituto Nacional de Est\u00e1ndares y Tecnolog\u00eda (NIST) se\u00f1ala que los tiempos de ejecuci\u00f3n de contenedores tambi\u00e9n son vulnerables a los ataques. Si bien esta no es una brecha de seguridad com\u00fan, el NIST se\u00f1ala que las vulnerabilidades de seguridad del tiempo de ejecuci\u00f3n del contenedor pueden ser " particularmente peligrosas<\/strong> " si permiten escenarios en los que el software malicioso puede atacar los recursos en otros contenedores y el propio sistema operativo host.<\/p>\n

Un atacante tambi\u00e9n puede aprovechar las vulnerabilidades para comprometer el propio software de tiempo de ejecuci\u00f3n y luego alterar ese software para que le permita al atacante acceder a otros contenedores, monitorear las comunicaciones de contenedor a contenedor, etc.<\/p>\n

Los problemas de seguridad son mucho m\u00e1s comunes con las configuraciones de tiempo de ejecuci\u00f3n. Los tiempos de ejecuci\u00f3n de contenedores suelen exponer muchas opciones configurables. Configurarlos incorrectamente puede reducir la seguridad relativa del sistema.<\/p>\n

Por ejemplo<\/strong>, en los hosts de contenedores de Linux, el conjunto de llamadas al sistema permitidas a menudo se limita de forma predeterminada a solo las necesarias para el funcionamiento seguro de los contenedores. Si esta lista se ampl\u00eda, puede exponer los contenedores y el sistema operativo host a un mayor riesgo de un contenedor comprometido.<\/p>\n

De manera similar, si un contenedor se ejecuta en modo privilegiado, tiene acceso a todos los dispositivos del host, lo que le permite actuar esencialmente como parte del sistema operativo del host e impactar a todos los dem\u00e1s contenedores que se ejecutan en \u00e9l.<\/p>\n

Otro ejemplo de una configuraci\u00f3n de tiempo de ejecuci\u00f3n insegura es permitir que los contenedores monten directorios confidenciales en el host. Si un contenedor comprometido puede realizar cambios en estas rutas, podr\u00eda usarse para elevar los privilegios y atacar al propio host, as\u00ed como a otros contenedores que se ejecutan en el host.<\/p>\n

Fortalecer el sistema operativo<\/h2>\n

NIST tambi\u00e9n recomienda ejecutar un sistema operativo espec\u00edfico del contenedor<\/a> porque las amenazas suelen ser m\u00ednimas, ya que los sistemas operativos est\u00e1n dise\u00f1ados espec\u00edficamente para albergar contenedores y tienen otros servicios y funcionalidades deshabilitados.<\/p>\n

Adem\u00e1s, debido a que estos sistemas operativos optimizados est\u00e1n dise\u00f1ados espec\u00edficamente para albergar contenedores, por lo general cuentan con sistemas de archivos de solo lectura y emplean otras pr\u00e1cticas de refuerzo de manera predeterminada. Siempre que sea posible, las organizaciones deben usar estos sistemas operativos minimalistas para reducir sus superficies de ataque y mitigar los riesgos t\u00edpicos y las actividades de fortalecimiento asociadas con los sistemas operativos de prop\u00f3sito general.<\/p>\n

Las organizaciones que no pueden usar un sistema operativo espec\u00edfico del contenedor deben seguir la gu\u00eda de NIST SP 800-123, Gu\u00eda para la seguridad general del servidor<\/a> para reducir la superficie de ataque de sus hosts tanto como sea posible.<\/p>\n

Por ejemplo<\/strong>, los hosts que ejecutan contenedores solo deben ejecutar contenedores y no ejecutar otras aplicaciones, como un servidor web o una base de datos, fuera de los contenedores. El sistema operativo host no debe ejecutar servicios de sistema innecesarios, como un administrador de trabajos de impresi\u00f3n, que aumenta su superficie de ataque.<\/p>\n

Finalmente, los hosts deben escanearse continuamente en busca de vulnerabilidades y las actualizaciones deben aplicarse r\u00e1pidamente, no solo al tiempo de ejecuci\u00f3n del contenedor, sino tambi\u00e9n a los componentes de nivel inferior, como el kernel del que dependen los contenedores para una operaci\u00f3n segura y compartimentada.<\/p>\n

La seguridad de los contenedores es una prioridad<\/h2>\n

Con m\u00e1s y m\u00e1s empresas que adoptan e implementan contenedores, su seguridad se est\u00e1 convirtiendo en una de las principales prioridades comerciales. Seg\u00fan una encuesta reciente<\/a>, el 94%<\/strong> de los encuestados ha experimentado un incidente de seguridad en sus entornos de contenedores. Esto solo resalta lo importante que es obtener los derechos de seguridad de los contenedores para proteger su negocio y sus clientes.<\/p><\/p>\n","protected":false},"excerpt":{"rendered":"

Los contenedores aumentan en n\u00famero cada d\u00eda y parecen estar en todas partes, ya que las organizaciones est\u00e1n ansiosas por aprovechar los muchos beneficios que ofrecen, como el desarrollo \u00e1gil de aplicaciones y la implementaci\u00f3n en todas las plataformas.<\/p>\n","protected":false},"author":1,"featured_media":243869,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[8585,8431,8473],"tags":[],"class_list":["post-249197","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-miscelaneas","category-vpn-para-computadoras","category-vpn-y-privacidad"],"_links":{"self":[{"href":"https:\/\/vpn.inform.click\/es\/wp-json\/wp\/v2\/posts\/249197","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/vpn.inform.click\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/vpn.inform.click\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/es\/wp-json\/wp\/v2\/comments?post=249197"}],"version-history":[{"count":0,"href":"https:\/\/vpn.inform.click\/es\/wp-json\/wp\/v2\/posts\/249197\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/vpn.inform.click\/es\/wp-json\/wp\/v2\/media\/243869"}],"wp:attachment":[{"href":"https:\/\/vpn.inform.click\/es\/wp-json\/wp\/v2\/media?parent=249197"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/vpn.inform.click\/es\/wp-json\/wp\/v2\/categories?post=249197"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/vpn.inform.click\/es\/wp-json\/wp\/v2\/tags?post=249197"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}