Descubre el poder de las CNAPP con nuestra guía
Aprende cuáles son las ventajas clave y accede a consejos de integración para las plataformas de protección de aplicaciones nativas de la nube. Mejora tu estrategia de seguridad de la nube.
Descarga la guía ya
Descubre el poder de las CNAPP con nuestra guía
Aprende cuáles son las ventajas clave y accede a consejos de integración para las plataformas de protección de aplicaciones nativas de la nube. Mejora tu estrategia de seguridad de la nube.
Descarga la guía ya
¿Qué es la seguridad de Kubernetes?
La seguridad de Kubernetes se refiere a la aplicación de técnicas y procesos para proteger las aplicaciones nativas de la nube que se ejecutan en Kubernetes (también conocido como K8s) frente a vulnerabilidades o agentes maliciosos.
Kubernetes es una plataforma de orquestación de contenedores de código abierto, diseñada para mejorar la escalabilidad y fiabilidad de las aplicaciones nativas de la nube. Su sólido conjunto de funciones y su facilidad de integración la han convertido en la opción preferida de pequeñas empresas emergentes que buscan competir en un mercado internacional, así como de grandes empresas, como Spotify o Major League Baseball, que necesitan dar servicio a una audiencia mundial.
Sin embargo, para aprovechar todo el potencial de Kubernetes, es necesario confiar en contenedores y microservicios que operan en la nube, lo que conlleva tener en cuenta ciertas cuestiones en materia de seguridad. Comprender los problemas de seguridad más habituales de Kubernetes y superar sus desafíos es el primer paso para mejorar la posición general de seguridad en la nube de una aplicación.
Infografía: Cómo mejorar la posición de seguridad en la nube
Descarga esta infografía para saber cómo mejorar la posición de seguridad de la nube y el nivel de cumplimiento normativo, abordando los desafíos de seguridad más frecuentes en entornos híbridos y multinube.
Descargar ahoraProblemas de seguridad más frecuentes de Kubernetes
El clúster típico de Kubernetes se compone de:
- El plano de control: el plano de control es el cerebro del clúster de K8s. Expone el clúster a la API de Kubernetes, programa la asignación y el aprovisionamiento de recursos y responde a los eventos dentro del clúster.
- Nodos: aquí es donde se realiza el trabajo dentro del clúster de Kubernetes, y donde se alojan y manipulan los datos según lo requiera la aplicación. Los nodos están formados por pods individuales más pequeños que funcionan de forma conjunta. Los nodos están formados por pods individuales más pequeños que funcionan de forma conjunta.
Estos dos elementos del clúster de Kubernetes constituyen una parte importante de la superficie de ataque total de Kubernetes. La propia aplicación puede introducir vulnerabilidades de seguridad adicionales a través de un código con errores o de bibliotecas desactualizadas. Además, la flexibilidad del host de Kubernetes lo convierte en una posible superficie de ataque.
Por ejemplo, si una organización implementa un clúster de Kubernetes en la nube pública, debe conocer cualquier posible vulnerabilidad de seguridad por la que sea conocida la plataforma y limitar el acceso al clúster en la medida de lo posible.
Comprender el origen de estas amenazas es vital para mejorar la seguridad de Kubernetes. Según el Informe Global sobre Amenazas 2024 de CrowdStrike, en 2023 se produjo un aumento del 75 % en las intrusiones en la nube, lo que obligó a las empresas a adaptar su postura de seguridad para hacer frente a esta creciente amenaza.
Los problemas de seguridad más comunes de Kubernetes se enumeran a continuación, y deben abordarse junto con el resto de vulnerabilidades de seguridad más habituales en la nube:
- Errores de configuración que desajustan los parámetros de seguridad o exponen involuntariamente información confidencial.
- Contenedores no autorizados o no protegidos.
- Acceso no autorizado al panel de control de Kubernetes.
- Acceso no autorizado a solicitudes de API o puertos de red.
- Configuración inadecuada de herramientas externas.
- Directivas de gestión de identidades y acceso mal configuradas.
Incidentes de seguridad en Kubernetes
Si no se protegen adecuadamente los clústeres de K8s y la infraestructura adyacente, pueden producirse consecuencias muy negativas para los datos de las aplicaciones y los ingresos operativos. A continuación se incluyen algunos ejemplos destacados de brechas de seguridad recientes en Kubernetes.
- Febrero de 2018: los hackers acceden a una consola de administración de Kubernetes no segura en las cuentas de la nube de un fabricante de automóviles. Una vez que obtuvieron acceso, instalaron malware para empezar a minar criptomonedas dentro de su infraestructura. El ataque expuso, además, datos de telemetría confidenciales y privados.
- Julio de 2019: un error de configuración del firewall expone los clústeres de K8s de una institución financiera a la Internet pública, lo que da lugar a una brecha en la que se robaron 30 GB de datos de solicitudes de crédito.
- Agosto de 2023: investigadores descubren que los clústeres de K8s pertenecientes de 350 organizaciones no estaban protegidos y eran accesibles al público debido a dos errores de configuración. La lista de organizaciones afectadas incluía grandes empresas de la lista Fortune 500, así como pequeñas empresas y proyectos individuales.
- Enero de 2024: investigadores descubren que una mala interpretación de los grupos de permisos de acceso de los usuarios dentro de Google Kubernetes Engine crea una vulnerabilidad de seguridad que puede exponer millones de contenedores a cualquier usuario con una cuenta de Google. Una empresa que cotiza en el Nasdaq fue una de las organizaciones expuestas a raíz de este error de configuración.
Fundamentos de la gestión de la posición de seguridad de Kubernetes
Los desarrolladores deben tener en cuenta todo el ciclo de vida de Kubernetes a la hora de reforzar la posición de seguridad de las aplicaciones nativas de la nube. Hay dos áreas principales a las que se debe prestar atención:
- Antes del clúster de Kubernetes: como Kubernetes se basa en las imágenes de contenedores, debes asegurarte de que los contenedores sean seguros antes de que entren en el clúster. Incluir el escaneo de imágenes en la canalización de integración/entrega continua (IC/EC) garantiza que los contenedores estén configurados correctamente, se hayan actualizado con los últimos parches de seguridad, y no introduzcan malware u otras vulnerabilidades de seguridad en el clúster de K8s.
- Dentro del clúster de Kubernetes: es necesario proteger varias áreas dentro del clúster para mitigar el riesgo de actividad maliciosa o exposición involuntaria de datos.
- El plano de control: los recursos del plano de control se almacenan en etcd, por lo que el acceso a etcd solo debe estar disponible a través de la API de Kubernetes con los permisos adecuados.
- La API de Kubernetes: la API es el método que utilizarán los usuarios externos para acceder al plano de control, por lo que es vital limitar el acceso únicamente a los usuarios autorizados. Utiliza proveedores de OpenID Connect (OIDC) para proteger el acceso a los clústeres de K8s, y el control de acceso basado en roles (RBAC) para designar especificaciones de control de acceso para cada objeto y espacio de nombres de Kubernetes. También puedes emplear controladores de admisión de Kubernetes para monitorizar y regular las solicitudes dirigidas al servidor de API de Kubernetes y garantizar que las llamadas API no autorizadas no lleguen a tus clústeres de K8s.
- Redes: la configuración de directivas de red permitirá a Kubernetes crear firewalls que eviten los accesos no autorizados y protejan la transferencia de datos entre pods.
- Nodos: los kubelets envían comunicaciones entre el plano de control y el motor del contenedor que alimenta la carga de trabajo dentro de los nodos. Para proteger eficazmente los kubelets, es necesario configurar y monitorizar la comunicación entre la API de Kubernetes y el kubelet, así como la comunicación entre el kubelet y el motor del contenedor.
- El contenedor y el tiempo de ejecución: en los contenedores implementados pueden aparecer vulnerabilidades como errores de configuración, exploits de día cero, elevaciones de privilegios y malware. La implementación de herramientas de seguridad de Kubernetes como CrowdStrike Falcon® Cloud Security garantiza que todos los aspectos del contenedor se monitoricen y protejan en su implementación.
Además de proteger el ciclo de vida de Kubernetes, si recopilas y mantienes logs de Kubernetes, podrás solucionar los cuellos de botella en el rendimiento, detectar deficiencias de seguridad e investigar brechas si se producen. CrowdStrike® Falcon Next-Gen SIEM mejorará significativamente la visibilidad de tus clústeres de Kubernetes y aumentará tu capacidad de respuesta a incidentes.
Más información
Descubre la serie completa de la guía de registro de Kubernetes:
- Parte 1: Conceptos básicos
- Parte 2: Conceptos avanzados
- Parte 3: Centralización de logs de Kubernetes
- Parte 4: Centralización del registro de un clúster de Kubernetes
Herramientas de seguridad de Kubernetes
Algunas de las herramientas de seguridad más comunes de Kubernetes son:
| Plataforma/Herramienta | Descripción |
|---|---|
| Falcon Cloud Security | Falcon Cloud Security ofrece capacidades de seguridad integrales para entornos de Kubernetes, con el objetivo de ayudar a las organizaciones a proteger sus cargas de trabajo contenedorizadas, detectar y responder a las amenazas de manera eficaz y garantizar el cumplimiento de los requisitos normativos. |
| Falco | Falco es una herramienta de seguridad Kubernetes de código abierto diseñada originalmente por Sysdig para detectar comportamientos anómalos en aplicaciones contenedorizadas. Utiliza métricas de tiempo de ejecución y llamadas al sistema para detectar posibles amenazas de seguridad, envía alertas en tiempo real y ofrece visibilidad sobre los clústeres de Kubernetes. |
| Falcon Sidekick | Falco Sidekick es una herramienta complementaria de Falco de código abierto que amplía sus capacidades para gestionar alertas y notificaciones. Se integra con varios canales de comunicación, como Slack y el correo electrónico, para enviar alertas y notificaciones en tiempo real sobre los eventos de seguridad detectados por Falco. |
| CIS Benchmark para Kubernetes | Las referencias de CIS Benchmarks proporcionan directrices para proteger las implementaciones de Kubernetes. Varias herramientas de código abierto, como kube-bench, pueden automatizar la evaluación de los clústeres de Kubernetes partiendo de estas referencias, que ayudan a garantizar el cumplimiento y la adhesión a las mejores prácticas de seguridad. |
| Kube-hunter | Kube-hunter es una herramienta de código abierto para pruebas de penetración diseñada específicamente para entornos de Kubernetes. Identifica posibles vulnerabilidades de seguridad y errores de configuración dentro de los clústeres de Kubernetes, de modo que las organizaciones pueden abordar de forma proactiva los riesgos de seguridad. |
| Kube-Bench | Kube-bench es una herramienta de código abierto que comprueba las implementaciones de Kubernetes a partir del CIS Benchmark para Kubernetes. Automatiza el proceso de comprobación de las referencias, y ofrece a las organizaciones información sobre posibles errores de configuración de seguridad y áreas de mejora. |
| Kyverno | Kyverno es un motor de directivas nativo de Kubernetes y de código abierto que se utiliza para hacer cumplir las directivas de seguridad y las mejores prácticas. Permite a las organizaciones definir y aplicar directivas en todos los recursos de Kubernetes, garantizando así el cumplimiento, la seguridad y la coherencia operativa dentro del clúster. |
| OPA/Gatekeeper | Open Policy Agent (OPA) Gatekeeper es un motor de aplicación de directivas de código abierto para Kubernetes. Con este motor, las organizaciones pueden definir y aplicar directivas para la configuración de recursos y el control de acceso, garantizando el cumplimiento y la seguridad en todas las implementaciones de Kubernetes. |
Cómo puede ayudarte CrowdStrike
Kubernetes ofrece una gran escalabilidad y capacidad de procesamiento, pero su complejidad plantea numerosos retos a la hora de mejorar la seguridad. Un simple error de configuración puede exponer accidentalmente datos confidenciales al público, por lo que los desarrolladores deben monitorizar todos los aspectos del ciclo de vida de K8s en busca de posibles vulnerabilidades.
Además, Kubernetes es una plataforma extremadamente flexible, que permite integraciones de terceros con herramientas que mejorarán tu posición de seguridad a través de mecanismos automatizados de escaneo y alerta. Integrar herramientas de seguridad de kubernetes que se ejecuten junto con las cargas de trabajo de Kubernetes es fundamental para maximizar la seguridad.
CrowdStrike Falcon® Cloud Security ofrece protección de contenedores, Kubernetes y host, desde el desarrollo hasta el tiempo de ejecución, en AWS, Azure y Google Cloud, y garantiza la seguridad en todas las etapas de la canalización de IC/EC.
Expert Tip
Comprueba el estado de tu nube y descubre cómo Falcon Cloud Security protege los contenedores y Kubernetes desde el código hasta el tiempo de ejecución.
Preguntas frecuentes sobre seguridad de Kubernetes (K8s)
P: ¿Qué es la seguridad de K8s?
R: La seguridad de Kubernetes (K8s) se refiere a las medidas utilizadas para proteger clústeres, cargas de trabajo y aplicaciones de Kubernetes frente a amenazas de seguridad. Esto incluye el control de acceso, las directivas de red, la seguridad en tiempo de ejecución y la protección de imágenes de contenedores.
P: ¿Cuáles son las 4 C de la seguridad de Kubernetes?
R: Las 4 C de la seguridad de Kubernetes son la nube (Cloud), Clústeres, Contenedores y Código. Rrepresentan diferentes capas de seguridad:
- Nube: proteger la infraestructura y la red en la nube.
- Clústeres: proteger las configuraciones de Kubernetes, el RBAC y las directivas de red.
- Contenedores: garantizar la seguridad de las imágenes del contenedor y la protección en tiempo de ejecución.
- Código: proteger el código de la aplicación de vulnerabilidades antes de la implementación.
P: ¿Cómo proporcionáis seguridad en Kubernetes?
R: La seguridad de Kubernetes se proporciona mediante prácticas recomendadas como el control de acceso basado en roles (RBAC), las directivas de red, el análisis de imágenes de contenedores, la aplicación del acceso con el mínimo de privilegios y la monitorización de la seguridad en tiempo de ejecución.
P: ¿Cuáles son las preocupaciones de seguridad de Kubernetes?
R: Las principales preocupaciones de seguridad en Kubernetes incluyen errores de configuración, accesos no autorizados, riesgos en la cadena de suministro, elevación de privilegios y vulnerabilidades en los contenedores. Los ciberdelincuentes pueden explotar las debilidades en la seguridad de la API de Kubernetes, las redes poco seguras y las imágenes de contenedores sin parches.
P: ¿Qué es la seguridad en Kubernetes?
R: La seguridad en Kubernetes implica proteger los clústeres frente a las amenazas mediante la autenticación, la autorización, el registro, la monitorización y las directivas de seguridad automatizadas. Requiere prácticas de seguridad continuas en todas las capas, desde la infraestructura en la nube hasta el código de la aplicación.
Cody Queen ocupa el puesto de Senior Product Marketing Manager en CrowdStrike y lidera los esfuerzos de comercialización de productos shift-left y Falcon Cloud Security. Antes de incorporarse a CrowdStrike, Cody trabajó en Cybereason como comercial de productos para la protección de cargas de trabajo en la nube y seguridad de endpoints y, anteriormente, en los servicios gestionados de centros de datos del negocio de seguridad y APEX Cloud de Dell Technologies. Además, cuenta con más de 14 años de experiencia en el sector público para la planificación, gestión y respuesta ante amenazas de seguridad contra los Estados Unidos.
