Kubernetes es una potente plataforma de orquestación de contenedores ampliamente adoptada, lo que la convierte en un objetivo común para los ciberdelincuentes que intentan infiltrarse en las redes. La creciente notoriedad de los problemas de seguridad de Kubernetes impulsó el desarrollo de un enfoque de seguridad integral que abarca todas las etapas del ciclo de vida del desarrollo de software (SDLC). Este enfoque combina dos conceptos: shift-left y shield-right.

El enfoque shift-left incorpora medidas rigurosas de seguridad en las primeras etapas previas al despliegue del SDLC. Por el contrario, el concepto de shield-right aplica prácticas de seguridad tras la implementación mediante mecanismos avanzados de monitorización y detección de amenazas. 

En este artículo, examinaremos cómo los equipos pueden combinar e implementar ambos conceptos en su SDLC para lograr una posición de seguridad general mucho más sólida en cualquier clúster de Kubernetes.  

Enfoque shift-left en Kubernetes

Sometidos a la presión de tener que cumplir con los plazos, algunos equipos posponen la corrección de los problemas de seguridad hasta después del lanzamiento, lo que, por desgracia, favorece la proliferación de vulnerabilidades explotables en los entornos de producción. El modelo shift-left tiene como objetivo abordar estos problemas de forma temprana y proactiva en el SDLC, lo que supone un ahorro de tiempo y reduce la probabilidad de sufrir una brecha.

A nivel conceptual, la metodología shift-left utiliza prácticas específicas y selectivas para lograr una serie de objetivos de seguridad fundamentales. El primer objetivo es la integración temprana. Identificar los problemas de seguridad de Kubernetes lo antes posible favorece el enfoque "fail-fast", lo que permite resolver los problemas de manera rápida y sencilla. A largo plazo, esto supone un ahorro de tiempo, ya que los obstáculos se eliminan antes de que se conviertan en cuellos de botella críticos. Con el tiempo, la resolución temprana se convierte en un motor importante de rentabilidad, ya que solucionar los problemas en las primeras etapas suele requerir menos recursos y menos tiempo de desarrollo que en etapas posteriores del SDLC. 

Prácticas esenciales

Las prácticas principales del enfoque shift-left incluyen las siguientes:

• Prueba estática de la seguridad de aplicaciones (SAST): analiza el código fuente o el funcionamiento interno de las aplicaciones en busca de vulnerabilidades y debilidades para identificar y solucionar los problemas de seguridad de forma temprana. Las herramientas de SAST automatizadas libera a los desarrolladores de las arduas pruebas manuales de SAST.

• Análisis de composición de software (SCA): monitoriza e identifica bibliotecas y componentes de código abierto en busca de vulnerabilidades conocidas en las bases de datos de CVE. 

• Análisis de la infraestructura como código (IaC): supervisa el código y las plantillas de IaC para detectar errores de configuración de seguridad o violaciones de normas con el objetivo de evitar brechas de seguridad y problemas de cumplimiento.

• Escaneo de imágenes de contenedores: comprueba que las imágenes de los contenedores no presenten vulnerabilidades antes de su implementación. Las imágenes de contenedores empiezan por una imagen de base que suele contener múltiples dependencias.

• Seguridad de la cadena de suministro de software: verifica la integridad y seguridad de los componentes y dependencias de terceros utilizados en la aplicación, evitando así la introducción accidental de vulnerabilidades.

Estas prácticas proactivas de seguridad deben integrarse en la canalización de integración continua/entrega continua (IC/EC) para la identificación y prevención automatizadas de problemas de seguridad antes de que puedan llegar al entorno de producción.

Ventajas

Al adoptar el enfoque shift-left para gestionar la seguridad, las empresas disfrutan de ventajas importantes. Para empezar, adoptar medidas de seguridad de manera proactiva reduce los costes. Que un ciberdelincuente aproveche una vulnerabilidad en producción puede resultar increíblemente caro para la organización, que perderá tiempo, recursos y dinero en la aplicación de medidas correctivas, la recuperación de la brecha de datos, las infracciones de cumplimiento y el daño a la reputación empresarial. En comparación con el coste que un incidente así puede suponer, el coste de implementar medidas de seguridad shift-left para identificar y resolver vulnerabilidades durante las primeras etapas del SDLC es mínimo. Esta ventaja por sí sola pone de manifiesto la utilidad del paradigma shift-left.

En segundo lugar, la seguridad shift-left mejora la colaboración. El enfoque shift-left supuso el nacimiento de las DevSecOps, ya que abrió la puerta a que los equipos de seguridad y DevOps colaborasen estrechamente para conseguir una mejor posición de seguridad general.

Enfoque shield-right en Kubernetes

Garantizar que se aplican las mejores prácticas de seguridad en la fase previa a la implementación es solo la primera mitad del trabajo y, posiblemente, la más fácil. Una vez la aplicación se implementa en el entorno de producción, entra en un contexto completamente nuevo donde los actores maliciosos pueden intentar atacar en cualquier momento. 

La metodología shield-right se centra en la monitorización en tiempo real y el análisis continuo de los tiempos de ejecución y las configuraciones de producción. Al igual que el enfoque shift-left, también se basa en varias prácticas clave para lograr objetivos importantes. El primer objetivo es la protección en tiempo de ejecución. Garantizar la seguridad durante el tiempo de ejecución puede resultar abrumador, especialmente a medida que los sistemas crecen en escala. Incluso un leve error de configuración puede propagarse y acabar derivando en una brecha grave. La protección en tiempo de ejecución requiere herramientas que detecten automáticamente las amenazas y anomalías, al tiempo que gestionan la respuesta a incidentes.

El segundo objetivo del enfoque shield-right es la monitorización continua. Los entornos de Kubernetes incluyen muchos componentes sofisticados, cada uno de los cuales requiere una monitorización continua y en tiempo real para garantizar que se detecten comportamientos inesperados y se corrijan de inmediato.

Prácticas esenciales

Este enfoque incorpora varias prácticas clave que están relacionadas con herramientas específicas.

• Detección y respuesta en la nube (CDR): la nube es un espacio que no para de evolucionar y en el que surgen nuevas amenazas constantemente. En tus implementaciones de Kubernetes debes incluir capacidades de respuesta y detección de amenazas en la nube en tiempo real para poder identificar y mitigar las amenazas según aparezcan.

• Protección de cargas de trabajo en nube (CWP): las cargas de trabajo nativas de la nube son muy diversas en cuanto a tamaño y forma. La CWP garantiza que todas las cargas de trabajo de la nube estén siempre protegidas durante su ejecución.

• Monitorización y análisis de logs: este proceso consiste en incorporar, procesar y analizar continuamente logs y eventos de varias fuentes para detectar anomalías según se producen. Los grandes sistemas generan terabytes de datos de logs a diario, lo que requiere herramientas de registro de nivel empresarial que puedan gestionar sin problemas cargas tan masivas.

• Gestión de la posición de seguridad de Kubernetes (KSPM): la KSPM es un marco integral diseñado específicamente para Kubernetes que proporciona información sobre el estado de seguridad de los clústeres de Kubernetes. Está diseñado para implementar las mejores prácticas, hacer cumplir los estándares de seguridad y monitorizar continuamente la posición de seguridad de un conjunto determinado de clústeres.

Ventajas

Las organizaciones que adoptan un enfoque de seguridad shield-right en sus entornos de Kubernetes pueden detectar las amenazas en tiempo real. Este enfoque se articula en torno a la idea de que los problemas de seguridad de producción deben abordarse lo antes posible. La posibilidad de detectar y mitigar las amenazas de manera rápida y completa hace que este enfoque sea atractivo.

Además, las organizaciones que implementan el modelo shield-right disfrutan de visibilidad operativa; y es que alcanzar un nivel de observabilidad óptima es un prerrequisito esencial para lograr una seguridad robusta en Kubernetes. El enfoque shield-right prioriza la monitorización integral que se extiende de forma amplia y profunda, es decir, cada capa del ecosistema de Kubernetes se monitoriza a fondo. Este enfoque ofrece una visión detallada de todas las actividades, lo que permite detectar las amenazas de manera proactiva y preservar el entorno de seguridad.

Integrar los enfoques shift-left y shield-right

Respetar las diferencias de roles entre el enfoque shift-left y shield-right en el SDLC garantiza que ambos paradigmas puedan integrarse sin problemas. De este modo, cada enfoque podrá complementar al otro sin solaparse de manera innecesaria y potencialmente perjudicial.

La integración de ambos paradigmas da como resultado un enfoque de seguridad integral. Combinar medidas proactivas (shift-left) y reactivas (shield-right) garantiza una estrategia de seguridad integral. Al integrar estos enfoques, te aseguras de que tu aplicación basada en Kubernetes está protegida durante todo su ciclo de vida. Resaltar la importancia de la seguridad desde las primeras etapas del desarrollo hasta la producción garantiza que se implementen las mejores prácticas de seguridad en todas las fases del ciclo de vida de la aplicación.

Protege las Kubernetes desde todos los ángulos con CrowdStrike Falcon Cloud Security

Aunque los entornos de Kubernetes son un objetivo principal para los actores maliciosos, las metodologías shift-left y shield-right se complementan bien para ofrecer una solución de seguridad fiable y completa. La combinación de ambos enfoques puede transformar tu entorno de Kubernetes en una fortaleza bien defendida. 

Dicho esto, cabe destacar que combinar los métodos shift-left y shield-right suele requerir el uso de varias herramientas que pueden no funcionar bien juntas. Adoptar un enfoque fragmentado sin crear redundancias innecesarias o deficiencias peligrosas es un reto. CrowdStrike Falcon® Cloud Security fusiona los principios shift-left y shield-right en una única plataforma unificada. Se integra directamente en las canalizaciones de IC/EC para abordar vulnerabilidades en las primeras fases, al tiempo que proporciona capacidades de monitorización continua y detección y respuesta a amenazas en tiempo real en el entorno de producción.

Para obtener más información sobre Falcon Cloud Security, prueba hoy mismo una demo interactiva o ponte en contacto con nuestro equipo de expertos de seguridad.