¿Qué es la seguridad de los microservicios?

La arquitectura de microservicios, que divide las aplicaciones en servicios pequeños, independientes y de acoplamiento débil, ha revolucionado el software moderno. Los microservicios son fundamentales para la computación en la nube y las tecnologías de contenedores. Ofrecen muchísima flexibilidad, escalabilidad y eficiencia. Sin embargo, la naturaleza distribuida de las aplicaciones basadas en microservicios introduce desafíos de seguridad únicos y graves. En este artículo, analizaremos estos desafíos de seguridad ligados a los microservicios, junto con los enfoques y herramientas clave utilizados para abordarlos.

Qué son los retos de seguridad de los microservicios

Si la aplicación de software es monolítica, ejecuta un único servicio que gestione las solicitudes de todas las funciones de la aplicación. En cambio, una arquitectura de microservicios suele separar cada característica en un servicio individual. Aunque este enfoque de acoplamiento débil ofrece numerosas ventajas, también amplía la superficie de ataque del sistema, lo que aumenta su vulnerabilidad general.

La naturaleza descentralizada de los microservicios implica que cada servicio individual tenga implementadas medidas básicas de seguridad. Entre ellas se incluyen:

• Autenticación
• Autorización
• Análisis de vulnerabilidades
• Cifrado de los datos

Mantener altos niveles de seguridad para un único sistema monolítico, por grande que sea, suele ser más sencillo que gestionar la seguridad de decenas (a veces, incluso cientos) de microservicios más pequeños.

Una ventaja clave de un enfoque de microservicios es la capacidad de implementar cada servicio de forma individual y rápida, incluso varias veces al día, sin interrumpir otros servicios. Si un microservicio está experimentando un problema en la producción, el resto de la aplicación puede permanecer prácticamente intacto. 

Revertir una actualización problemática en un solo microservicio también es mucho más rápido, a menudo con un impacto mínimo en el sistema en general. Sin embargo, este ritmo acelerado también puede aumentar significativamente la complejidad de la aplicación de parches de seguridad y la realización adecuada de pruebas.

Principios fundamentales para proteger los microservicios

Proteger una arquitectura de microservicios requiere implementar medidas en varias capas de tu pila tecnológica.

Seguridad de las API

Eso sí, no todos los servicios de un entorno de microservicios son necesariamente una API. Sin embargo, el mecanismo de solicitud y respuesta basado en API es un patrón muy común en estos entornos. Entre los componentes fundamentales de la seguridad de las API se incluyen:

• Protección de la comunicación con los servicios: si una API no está pensada para ser accesible públicamente, implementa un firewall que restrinja el acceso a los servicios no autorizados.
• Autenticación y autorización: a menos que los datos proporcionados por una API estén destinados a ser accesibles públicamente, un servidor de API debe implementar la autenticación y la autorización. Esto garantiza que el acceso se restringa únicamente a los recursos y operaciones que el cliente puede utilizar.
• Validación de entradas: los ciberdelincuentes pueden intentar explotar las vulnerabilidades enviando entradas mal formadas mediante encabezados HTTP, consultas o parámetros de ruta. Por lo tanto, los servidores de API deben validar la entrada antes de ejecutar la lógica de negocio.
• Limitación de velocidad: un ataque común contra las API es la inundación automática de solicitudes a una API, ya sea como un ataque de fuerza bruta para adivinar las contraseñas o como un ataque de denegación de servicio (DoS). Para evitar la caída del servidor, aplica la limitación de la velocidad de las solicitudes en tus servidores de API.

Principios de Zero Trust

Los servicios deben implementar un control de acceso estricto, basado en una metodología Zero Trust. Esto implica implementar tecnologías como firewalls y tokens de autenticación para permitir la comunicación entre servicios y clientes solo cuando sea necesario. Aplica el principio del mínimo de privilegios tanto para los servicios como para los usuarios.

Protección de datos en tránsito

Los datos que fluyen por Internet pueden ser interceptados por ciberdelincuentes. Por eso, el cifrado de datos en tránsito se ha convertido en una necesidad. Protocolos de cifrado como HTTPS, que se basan en los estándares de cifrado SSL (capa de sockets seguros) y TLS (seguridad de la capa de transporte), garantizan que todos los datos entre servidores y clientes estén cifrados durante el tránsito. Así, incluso aunque se intercepten, los atacantes no pueden descifrarlos.

Como estos protocolos de cifrado utilizan certificados de seguridad para generar claves, estos certificados deben almacenarse, gestionarse y actualizarse regularmente para seguir siendo efectivos.

Monitorización y registro continuos 

Sin la captura y monitorización en tiempo real de logs y eventos, las organizaciones no tienen visibilidad de las posibles amenazas a sus sistemas. Como cada microservicio genera su propio flujo de logs, es crucial utilizar una herramienta de registro centralizada que agregue los logs de todos los microservicios en una aplicación. Esta ubicación central sirve como una fuente única de verdad, permitiendo a los ingenieros consultar y correlacionar fácilmente datos de todos los componentes. 

Integrar alertas en tiempo real con análisis de logs y métricas permite a los ingenieros de seguridad responder rápidamente a los incidentes.

Implementación de la seguridad en un pipeline de IC/EC

Los servicios no se deberían poner en producción sin una verificación de seguridad adecuada. Integrar comprobaciones y pruebas de seguridad automatizadas en el pipeline de IC/EC garantiza que los servicios cumplan los estándares de seguridad antes de la producción. Las prácticas adicionales de seguridad, como el análisis de vulnerabilidades y el análisis estático de código, deberían integrarse en el pipeline de IC/EC.

Gestión de la seguridad a gran escala con la contenedorización

Los microservicios suelen ejecutarse en contenedores gestionados por herramientas de orquestación de contenedores, como Kubernetes o Docker Swarm. Por lo tanto, la seguridad de los contenedores es un segmento crucial de la seguridad de los microservicios, con su propio conjunto de prácticas recomendadas:

• Análisis de imágenes: analizar imágenes para detectar vulnerabilidades, errores de configuración y problemas de cumplimiento normativo antes de que se envíen a un registro de contenedores.
• Seguridad en tiempo de ejecución: incluye monitorizar los tiempos de ejecución de los contenedores y los servicios que se ejecutan dentro de ellos para identificar y detectar posibles anomalías.
• Protección del registro de contenedores: limitar el acceso a las imágenes almacenadas en un registro mediante la aplicación de directivas de acceso estrictas y roles de IAM. Solo las herramientas y servicios de orquestación totalmente autenticados deberían poder extraer una imagen de un registro.

Un proceso fiable para proteger los microservicios

Las muchas ventajas de una arquitectura de microservicios han hecho que este enfoque sea especialmente atractivo para organizaciones tecnológicas de todos los tamaños. Sin embargo, no se deben ignorar los desafíos de seguridad que conlleva la adopción de microservicios.

La seguridad de microservicios es un proceso en constante evolución en el que las herramientas modernas de seguridad de microservicios desempeñan un papel fundamental. CrowdStrike Falcon® Cloud Security te ofrece una visión profunda de tus microservicios mientras aplica estándares de seguridad basados en principios de Zero Trust. A través de la colaboración con Salt Security, CrowdStrike Falcon® también proporciona una integración fluida de todos los aspectos de la seguridad de las API. Las características nativas de IA de Falcon garantizan una protección integral en cada capa de tu entorno de microservicios.