.png)
Cómo resolver los 3 principales desafíos de proteger los contenedores y los entornos de Kubernetes
¿Su organización está adoptando simultáneamente DevOps y el enfoque de "cambio a la izquierda" mientras cambia la forma en que piensa sobre la infraestructura de desarrollo y producción? No estás solo.
Los días de los centros de datos locales con servidores de hardware limitados y suites de desarrollo estandarizadas ahora están en el espejo retrovisor. Los desarrolladores necesitan la libertad de aprovechar cualquier nube, instancia de servicio en la nube o herramienta que mejor se adapte a sus aplicaciones.
Si bien esta nueva flexibilidad fomenta la innovación rápida, también presenta un serial de desafíos cuando se trata de implementar una seguridad consistente pero flexible en contenedores y entornos de Kubernetes en constante cambio.
3 desafíos de proteger contenedores y entornos de Kubernetes
Todavía existe la idea errónea de que los contenedores y los entornos de Kubernetes no necesitan el mismo tipo de seguridad que otras partes de la red. Esto simplemente no es cierto. Los equipos de seguridad se enfrentan a grandes dificultades para proteger los contenedores y los entornos de Kubernetes. Estos son tres de los principales desafíos:
1. Adaptación de las políticas de seguridad a los contenedores dinámicos y a los entornos de Kubernetes
Adoptar una arquitectura de microservicios y seleccionar servicios de Kubernetes en contenedores presenta varios beneficios, incluida una mayor disponibilidad del servicio, actualizaciones sin problemas, escalado automático y portabilidad de la plataforma. Sin embargo, los contenedores tienen ciclos de vida orquestados por Kubernetes con muchas tareas automatizadas y, a veces, duran solo minutos, mientras que los contenedores en sí existen durante solo unos segundos.
Esta naturaleza dinámica plantea desafíos para los administradores de seguridad, lo que lleva a la necesidad de centrar en la aplicación de políticas principalmente en los puntos de entrada y salida. La aparición de mallas de servicios de varios clústeres y la federación de mallas de servicios en las nubes permite que los contenedores se implementen en cualquier lugar y se conecten a través de la malla de servicios.
Confiar únicamente en las defensas perimetrales se vuelve menos efectivo a medida que se expande la malla de servicio.
2. Garantizar el cumplimiento en toda la pila
Una mirada más cercana a un servicio de Kubernetes gestionado en una nube pública, como AWS Elastic Kubernetes Service (AWS EKS), revela múltiples puntos de aplicación, incluidos firewalls de red, grupos de seguridad, balanceadores de carga de aplicaciones y políticas de red de Kubernetes, cada uno de los cuales contribuye a diferentes aspectos de la seguridad. La introducción de una malla de servicios agrega aún más una capa de políticas de autorización.
A menudo, estos puntos de aplicación son propiedad de varios equipos, como equipos de nube o plataforma, equipos de DevOps y desarrolladores de aplicaciones. La seguridad nativa de la nube es ampliamente reconocida como una responsabilidad compartida entre diferentes equipos. En la pila de Kubernetes dentro de las nubes públicas, esta fragmentación de la propiedad puede ser particularmente desafiante. Surge la pregunta: ¿Cómo podemos garantizar la segmentación de la red y las aplicaciones sin brechas?
3. Establecimiento de políticas uniformes en entornos híbridos y multinube
Aquí es donde muchas compañías encuentran obstáculos importantes.
La mayoría de los controles de políticas suelen limitar a entornos específicos y proporcionan segmentación solo dentro de esos límites. Pero con los entornos complejos e interconectados de hoy en día, estas políticas aisladas a menudo se quedan cortas y crean vulnerabilidades en las que el malware puede mover lateralmente a través de ellas. Para complicar aún más las cosas, las diferentes cargas de trabajo en diferentes entornos tienen diferentes conjuntos de metadatos y atributos.
Todos estos desafíos significan que los equipos de seguridad deben diseñar una solución que proporcione visibilidad de extremo a extremo en toda la superficie de ataque.
Cómo Illumio Core for Kubernetes resuelve estos desafíos
Con Illumio Core for Kubernetes, los equipos de seguridad pueden superar los desafíos asociados con la protección de entornos dinámicos, la aplicación de políticas en toda la pila y el mantenimiento de políticas de seguridad consistentes en implementaciones híbridas y multinube.
Integración con el plano de control de Kubernetes: Illumio se integra a la perfección con el plano de control de Kubernetes, recibiendo información sobre la creación y eliminación de nodos, espacios de nombres, servicios, cargas de trabajo y pods. Esto permite a Illumio aplicar las políticas correspondientes de forma dinámica.
Instalación de Helm Chart: Illumio simplifica el proceso de implementación al ofrecer gráficos de Helm que encapsulan todos los recursos y configuraciones de Kubernetes necesarios para la solución de seguridad de Illumio. Estos gráficos se pueden personalizar empleando valores de Helm para cumplir con requisitos específicos. Al usar Helm, Illumio se integra perfectamente en los flujos de trabajo de DevOps.
Directiva basada en etiquetas: Las políticas basadas en etiquetas de Illumio son particularmente adecuadas para gestionar cargas de trabajo mixtas en entornos multinube. Los administradores pueden asignar metadatos y atributos en un conjunto común de etiquetas, lo que garantiza un enfoque coherente para la evaluación de la seguridad.
Asignación de metadatos en la nube y etiquetas de Kubernetes a etiquetas: Illumio permite a los usuarios de DevOps especificar la asignación de etiquetas de las etiquetas de los nodos de Kubernetes a las etiquetas de Illumio. Esto simplifica el proceso de asignación de información ambiental predeterminada a conjuntos de etiquetas, lo que garantiza que las políticas se apliquen fácilmente a medida que se agregan nodos a los clústeres.
Escalabilidad y rendimiento: A medida que las compañías continúan expandiendo sus iniciativas de nube y aplicaciones, la solución Illumio fue probada exhaustivamente y está equipada para escalar para satisfacer las demandas del crecimiento futuro.
Contáctenos hoy para obtener más información sobre cómo Illumio Core puede proteger su implementación de Kubernetes.
