Marcos de Kubernetes: NIST frente a CIS
Kubernetes es un sistema de orquestación de contenedores que se utiliza para ejecutar diversos tipos de cargas de trabajo, desde aplicaciones web orientadas al usuario hasta procesos de backend. Los entornos de Kubernetes son diversos, pueden alojar muchos tipos diferentes de cargas de trabajo, todo dentro de un clúster, y permiten la comunicación entre contenedores de forma predeterminada. Sin embargo, los múltiples niveles de complejidad de Kubernetes también introducen nuevos vectores de ataque que pueden ser aprovechados por actores malintencionados.
El Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST CSF) y las referencias del Centro para Seguridad en Internet (CIS) proporcionan directrices y controles exhaustivos que las organizaciones pueden aplicar para mitigar su exposición al riesgo.
En este artículo, exploraremos estos dos estándares, y analizaremos en qué se diferencian y cómo se complementan entre sí. Veremos cómo se utilizan para definir objetivos de alto nivel y directrices para configurar de forma segura los clústeres de Kubernetes.
Qué es el NIST CSF
El NIST CSF contiene más de 900 directrices destinadas a las organizaciones que desean mejorar su posición de seguridad. Utiliza un conjunto de funciones que representan resultados de ciberseguridad de alto nivel. Los objetivos y resultados de nivel inferior se clasifican en categorías y subcategorías que se ramifican a partir de estas funciones.
El marco también es un estándar que puede utilizarse para realizar auditorías, ya que permite a las empresas comparar su seguridad de IT con la de sus pares. Así, las empresas pueden evaluar los riesgos de ciberseguridad de los diversos componentes de su infraestructura, incluidos los clústeres de Kubernetes.
Funciones y aplicaciones principales relacionadas con Kubernetes
La siguiente tabla describe las funciones de nivel superior del marco NIST y cómo pueden aplicarse para gestionar de forma segura los clústeres de Kubernetes.
| Gobernanza | La estrategia, las expectativas y la directiva de gestión de riesgos de ciberseguridad de la organización se establecen, comunican y monitorizan. | Se establecen directivas de gobernanza para la gestión de clústeres y recursos, así como para el cumplimiento. |
| Identificación | Se comprenden los riesgos de ciberseguridad de la organización. | Se identifican todos los recursos, dependencias y vulnerabilidades potenciales de Kubernetes. |
| Identificación | Se utilizan medidas de seguridad para gestionar los riesgos de ciberseguridad de la organización. | Se implementa la segmentación de red, el control de acceso basado en roles (RBAC) y configuraciones seguras para los componentes de Kubernetes. |
| Detección | Se detectan y analizan posibles ataques y vulnerabilidades de ciberseguridad. | Se utilizan herramientas de observabilidad para detectar actividades anómalas en el clúster. |
| Respuesta | Se toman medidas con respecto a un incidente de ciberseguridad detectado. | Se crean e implementan planes de respuesta a incidentes específicos para Kubernetes. |
| Recuperación | Se restauran los recursos y las operaciones afectados por un incidente de ciberseguridad. | Se desarrollan y prueban los procedimientos de copia de seguridad y recuperación para clústeres de Kubernetes. |
La guía completa para CNAPP
Descarga la guía completa para CNAPP de CrowdStrike para comprender por qué las plataformas de protección de aplicaciones nativas de la nube son un componente crítico de las estrategias modernas de seguridad en la nube, y aprende a integrarlas en los ciclos de vida de desarrollo.
Descargar ahoraCIS Benchmarks para Kubernetes
Las referencias CIS Benchmarks para Kubernetes actúan como complemento del NIST CSF. Los controles del CIS son un conjunto de mejores prácticas concretas y directamente aplicables, relacionadas con la configuración segura de un clúster de Kubernetes. Las referencias abordan exhaustivamente todos los componentes relevantes para la arquitectura de Kubernetes (como el plano de control, etcd y los nodos de trabajo). Además, tratan la gestión de las cargas de trabajo que los usuarios añaden a estos componentes (como RBAC y la seguridad de los pods).
Las referencias CIS Benchmarks son un amplio conjunto de comprobaciones de configuración, que incluyen todos los aspectos, desde la propiedad de los archivos de varios componentes (p. ej., 1.1.4 Asegúrate de que la propiedad del archivo de especificaciones del pod del administrador del controlador esté establecida en root:root), hasta comprobaciones manuales para garantizar que las directivas y procedimientos que rigen el clúster están establecidas de manera adecuada (p. ej., 3.2.2 Asegúrate de que la directiva de auditoría aborda las principales preocupaciones en materia de seguridad).
Las organizaciones pueden recurrir a la automatización para comprobar la mayoría de estas referencias, y el resto pueden evaluarse durante el proceso de auditoría manual.
Los siguientes son controles explícitos que se comprueban utilizando CIS Benchmarks:
| Componentes del plano de control |
|
| Configuración del plano de control |
|
| Nodos de trabajo |
|
| Directivas |
|
CIS Benchmarks incluyen directivas generales y recomendaciones de seguridad adicionales que no entran en ninguna de estas categorías, pero que merece la pena mencionar. Algunos ejemplos son la aplicación de un contexto de seguridad a pods y contenedores (5.7.3) o no utilizar el espacio de nombres predeterminado para las cargas de trabajo (5.7.4).
Caso de cliente: Porter Airlines
Lee este caso de cliente y descubre cómo Porter Airlines consolida la seguridad de la nube, la identidad y los endpoints con CrowdStrike.
Descargar ahoraComparativa de los marcos NIST y CIS
El alcance y el enfoque de estos dos marcos responden a enfoques complementarios. El marco NIST es de amplio alcance y va más allá de los clústeres de Kubernetes, aunque puede aplicarse a la administración de los clústeres. Las referencias de CIS Benchmarks ofrecen orientación específica sobre cómo operar el clúster de Kubernetes y otros aspectos de forma segura, a través de un conjunto medible de puntos de referencia que puedes utilizar para fijar una puntuación de estado.
El marco del NIST responde a un enfoque más estratégico, y define el trabajo que debe asumirse para mejorar la seguridad de los clústeres. Es muy adecuado para un plan de alto nivel con el que se quieran abordar algunos objetivos de ciberseguridad de la organización relacionados con Kubernetes.
El marco de CIS Benchmarks es más táctico e indica las áreas concretas en las que centrarse para mejorarlas o reforzarlas. Te ofrece una visión detallada de lo bien (o mal) que están configurados tus clústeres. Además, te da un número concreto que puedes tomar como indicador (como cuántas referencias apruebas o no por clúster, lo que puede convertirse en una métrica de estado para áreas de mejora.
Cuando se combinan, NIST y CIS ofrecen un marco de integral para guiar a las organizaciones hacia la excelencia en seguridad, que incluye un conjunto de referencias técnicas, desde el plano específico hasta el general, para favorecer la responsabilidad en los esfuerzos por mejorar la seguridad de cada clúster.
La implementación de estos dos marcos dentro de tu organización puede resultar una tarea abrumadora. El documento de CIS tiene más de 300 páginas y describe en detalle cada una de las referencias. Por su parte, el marco NIST es un documento de 30 páginas con directrices generales que tu organización tendría que concretar.
Más información
Explora esta página y programa una demo para saber cómo CrowdStrike Falcon Cloud Security reduce el trabajo de los equipos de seguridad, ofrece protección contra las brechas en la nube y optimiza las implementaciones multinube.
Confía en el asesoramiento de CrowdStrike sobre la seguridad de Kubernetes
El marco NIST ofrece una serie de funciones, categorías y subcategorías que las organizaciones pueden utilizar para planificar cómo alcanzarán sus objetivos de seguridad de alto nivel. Este marco se organiza con funciones básicas que se reducen a componentes mucho más específicos y concretos para ayudar a mitigar el riesgo organizativo. Las referencias de CIS Benchmarks para Kubernetes ofrecen directrices de implementación concretas que pueden encajar en estas categorías; es un marco que incluye comprobaciones individuales (que se aprueban o suspenden) para configurar correctamente Kubernetes.
CrowdStrike es un líder con experiencia demostrada en el espacio de la ciberseguridad, y la plataforma CrowdStrike Falcon® ayuda a las organizaciones a cumplir con los marcos NIST y CIS. Ayuda a las organizaciones a implementar los controles de NIST, incluidos varios niveles de familias de controles. Además, CrowdStrike se ha asociado con CIS para incorporar sus referencias a la plataforma Falcon, lo que permite configurar rápidamente el marco CIS Benchmarks para Kubernetes.
Si quieres ver cómo la plataforma CrowdStrike Falcon puede simplificar la seguridad de tus entornos de Kubernetes con los marcos NIST y CIS, lee cómo CrowdStrike te puede ayudar a prepararte para el futuro de NIST CSF y solicita una prueba gratuita hoy mismo.
Karishma Asthana ocupa el puesto de Senior Product Marketing Manager de seguridad de la nube en CrowdStrike, con sede en Nueva York. Obtuvo una licenciatura en informática en el Trinity College. Karishma aprovecha su experiencia técnica en ingeniería de software y pruebas de penetración para vincular los avances tecnológicos con el valor del cliente. Cuenta con más de 5 años de experiencia en marketing de productos en el ámbito de la seguridad de la nube y de endpoints.
