Implementaciónde Aqua Security para proteger Kubernetes
A pesar de la madurez de la plataforma,la seguridad sigue siendo un gran desafío para los usuarios de Kubernetes. Si bien, en otras áreas, Kubernetes ofrece máxima flexibilidad, modularidad y facilidad de uso, la naturaleza compleja de los ambientes basados en Kubernetes implica que asegurar dicho ambiente en la nube por completo es una tarea compleja de completar.
Hay muchas herramientasy servicios que se centran en mejorar la seguridad de Kubernetes. Sin embargo,Aqua Security es el más completo del mercado. (Si no conoce Aqua Security, lea el artículo anterior aquí). Mediante el uso de tecnología probada, como es el enfoque holístico, Aqua Security es capaz de proteger todo el entorno de Kubernetes. Es una herramienta todo en uno de seguridad para Kubernetes.
Cómo funciona AquaSecurity.
Aqua Security ve la seguridad de Kubernetes desde un punto de vista holístico. En su conjunto de herramientas integra tres componentes principales, lo que permite, de forma básica a los usuarios de Kubernetes, es garantizar la máxima seguridad en todo momento.
El primer componente es la herramienta de evaluación de amenazas de Aqua Security conocida como kube-bench, una herramienta que cumple la norma de CIS, que realiza un análisis en profundidad de su ambiente de Kubernetes. La herramienta integra más de 100 pruebas y parametros de seguridad, por lo que se obtiene un panorama claro de que tan seguro está su ambiente al final del proceso.
En el otro lado de la ecuación, en la evaluación de amenazas, se encuentra kube-hunter, herramienta de código abierto que maneja pruebas de penetración y busca ataques conocidos. De forma similar a kube-bench, kube-hunter se basa en vectores de ataque conocidos e información sobre la superficie de ataque de su ambiente. El resultado de las pruebas son vulnerabilidades conocidas que puedes corregir de inmediato.
El segundo componentees el control de despliegue de imágenes. Este es un componente sencillo, básicamente analiza las imágenes que se despliegan en los clústeres de Kubernetes para asegurarse de que no se inyecte ningún código malicioso ni malware en el ambiente. Solo se permite el despliegue de imágenes aprobadas y el control sobre el proceso de aprobación se administra estrictamente. Puedes optimizar el análisis estático y dinámico de imágenes del contenedor Docker con el microscanner.
El tercer y último componente es la protección a nivel de aplicación, lo que significa que esta es la parte que maneja la seguridad de los nodos y procesos en ejecución dentro de sus clústeres de Kubernetes. El componente es lo suficientemente avanzado como para realizar tareas de seguridad complejas, como perfiles de nivel de acceso, detección de intrusiones y anomalías, así como otros más.
Estos componentes se implementan como una solución de ciclo de vida de seguridad completa, lo que hace que la solución de Aqua Security sea más interesante.
Implementar de AquaSecurity.
Una de las mayores ventajas de utilizar Aqua Security es la simplicidad en su implementación (instalación, configuración y puesta en marcha). En lugar de hacer de la seguridad un componente complejo, Aqua Security utiliza herramientas que pueden ejecutarse dentro de sus clústeres de Kubernetes, una sencilla interfaz gráfica de administración y una perfecta integración con servicios existentes como los que ofrece AWS EKS. También es capaz de automatizar el descubrimiento y mapeo de nodos del entorno, lo que significa que la configuración inicial es increíblemente fácil.
Aqua también proporciona un operador, que es la forma en que Kubernetes maneja el conocimiento de dominio personalizado, también conocido como la forma fácil de instalar y administrar aplicaciones complejas.
La implementación comienza con la adquisición del nombre de usuario y la contraseña del sitio webde Aqua, junto con el token de licencia del producto (Aqua CSP). Puede crear fácilmente un registro CSP secreto y después clonar el aqua-helm de github. Como alternativa, se puede instalar la imagen del contenedor Aqua, aunque este no se recomienda para un uso permanente a largo plazo.
Aqua requiere un servidor, una base de datos y una puerta de enlace (gateway) para operar, por lo que estos deben prepararse antes de continuar. Si es necesario,puede configurar el acceso de local host a Aqua y definir el reenvío de puertos. Una vez que se completa el proceso, usted tiene acceso al CSP de Aqua para una mayor gestión de la seguridad de Kubernetes. Un último paso que debe tomar antes de poder utilizar por completo la interfaz gráfica de Aqua Security es instalar Aqua Enforcer.
Aqua Server se convierte en la principal consola de gestión de la seguridad de Kubernetes. Recuerde que puede tener varios servidores Aqua para gestionar clústeres específicos, por lo que integrar Aqua con herramientas CI/CD u otros flujos de trabajo es relativamente fácil. Una vez que abra la consola, lo primero que usted debe de hacer es realizar una evaluación de riesgos completa.
Este proceso comienza con el descubrimiento automático de todas las cargas de trabajo en ejecución. Vaya a Risk Explorer y deje que Aqua haga su trabajo. En la pantalla verá un mapa visual de su clúster, incluidos los diferentes espacios de nombres y los controladores que se ejecutan en el ambiente. También se muestran el nivel de riesgo y las recomendaciones para cada imagen.
Al cambiar la evaluación de riesgos de una sola ejecución a una continua ejecución, AquaSecurity se integra en su canal de CI/CD. Todas las imágenes se escanearán y revisarán antes de que se puedan desplegar. Aqua Security también analizará los paquetes del sistema operativo, incluidos Ruby, Python y otros paquetes de lenguajes de programación. Incluso las herramientas de CI como Jenkins son totalmente soportados.
Las imágenes le brindan una vista, en tiempo real, de sus contenedores mientras que los Servicios se enfocan más en grupos de contenedores que manejan tareas o funciones específicas. Puede tener varios contenedores que realizan una función similar(básicamente un servicio) y se pueden configurar como uno solo. La seguridad se vuelve más fácil de administrar cuando se define en un nivel de servicio.
La configuración de cumplimiento en tiempo de ejecución le permite ajustar cómo desea monitorear y administrar las imágenes. Puede, por ejemplo, definir cómo se mueven las imágenes del estado de staging a producción. Los indicadores y advertencias se emiten cuando no se cumplen los parámetros; además, puede seguir confiando en sus herramientas de orquestación sin reducir su nivel de seguridad.
El control de acceso basado en roles (RBAC) agrega una capa de seguridad al clúster. Aqua Security automatiza el proceso de identificación del privilegio mínimo necesario para que se ejecuten las imágenes y los servicios. Los privilegios que no son necesarios, especialmente aquellos que potencialmente pueden explotarse, se eliminan automáticamente. También se encuentra disponible la gestión de acceso granular de usuarios y servicios.
Una característica invaluable de Aqua Security es la visibilidad de la carga de trabajo en tiempo real. El monitoreo constante y continuo permite que la herramienta de seguridad mantenga una visibilidad completa de sus contenedores de Kubernetes. Los controles de tiempo de ejecución, la detección de anomalías y la identificación de la carga de trabajo se realizan automáticamente sin interrumpir losprocesos.
La detección de anomalías incluye la detección de intrusiones y la detección de anomalías en lacarga de trabajo. Combinado con un RBAC estricto y el firewall integrado que ofrece Aqua Security, puede proteger sus clústeres de Kubernetes contra la mayoría (bueno, la gran mayoría) de los ataques sin pasar por el proceso, generalmente complejo, de configurar cada medida de seguridad de forma manual.
Una herramienta encrecimiento.
Una de las características más importantes de Aqua Security es que se revisa y mejora constantemente para mantenerlo actualizado. Por ejemplo, la base de datos de vectores de ataque se actualiza periódicamente para hacer frente a los desafíos del mercado. Lo mismo ocurre con otras funciones y herramientas integradas en la suite de Aqua Security.
Si está buscando una forma de proteger los clústeres de Kubernetes de una manera fácil, puede probarla solución de Aqua Security. Es fácil de implementar y simple de mantener a largo plazo.
Caylent es una empresa que proporciona funcionalidades críticas de DevOps como Serviciopara empresas de alto crecimiento que buscan soporte experto con Kubernetes, seguridad en la nube, infraestructura en la nube y canales de CI/CD. Una opción más rentable que la contratación interna son nuestros servicios administrados y de consultoría, que son escalados a medida que su equipo y su empresa crecen. Consulte algunos de los casos de uso, conozca cómo trabajamos con nuestros clientes y lea más sobre nuestra oferta DevOps como Servicio.
Esta publicación sepublicó originalmente en Caylent.com.
Traducido por: Alfredo Barón.
.png)