Frameworks do Kubernetes: NIST vs. CIS
Kubernetes é um sistema de orquestração de containers usado para executar vários tipos de workloads, desde aplicações web voltadas para o usuário até processos de backend. Os ambientes do Kubernetes são diversos, com a capacidade de hospedar muitos tipos diferentes de workloads em um único cluster, e permitem comunicação de containers por padrão. No entanto, as muitas camadas de complexidade do Kubernetes também apresentam novos vetores de ataque para atores mal-intencionados explorarem.
O NIST Cybersecurity Framework (CSF) e o Center for Internet Security (CIS) Kubernetes Benchmarks fornecem orientação e controles abrangentes que as organizações podem implementar para mitigar sua exposição ao risco.
Neste artigo, exploraremos esses dois padrões, observando como eles diferem e se complementam. Veremos como eles são usados para definir metas e diretrizes de alto nível para configurar com segurança um cluster Kubernetes.
Entendendo a NIST CSF
A NIST CSF contém mais de 900 diretrizes para organizações que desejam elevar sua postura de segurança. Ela usa um conjunto de funções que representam resultados de cibersegurança de alto nível. Objetivos e resultados de nível inferior se enquadram em categorias e subcategorias que se ramificam dessas funções.
O framework também é um padrão que pode ser usado para auditoria, permitindo que uma empresa compare sua segurança de TI com a de seus pares. Ela permite que as empresas avaliem seus riscos de cibersegurança dentro dos vários componentes de sua infraestrutura, incluindo clusters do Kubernetes.
Principais funções e aplicações relacionadas ao Kubernetes
A tabela abaixo descreve as funções de nível superior do framework NIST e mostra como elas podem ser aplicadas para gerenciar clusters Kubernetes com segurança.
| Governar | A estratégia, as expectativas e a política de gerenciamento de risco de cibersegurança da organização são estabelecidas, comunicadas e monitoradas. | Estabeleça políticas de governança para gerenciamento de clusters e recursos, bem como conformidade. |
| Identificar | Os riscos atuais de cibersegurança da organização são compreendidos. | Identifique todos os recursos, dependências e possíveis vulnerabilidades do Kubernetes. |
| Identificar | São utilizadas salvaguardas para gerir os riscos de cibersegurança da organização. | Implemente segmentação de rede, controle de acesso baseado em função (RBAC) e configurações seguras para os componentes do Kubernetes. |
| Detecção | Possíveis ataques e comprometimentos de cibersegurança são encontrados e analisados. | Use ferramentas de observabilidade para detectar atividades anormais no cluster. |
| Resposta | Ações relacionadas a um incidente de cibersegurança detectado são tomadas. | Crie e implemente planos de resposta a incidentes específicos para o Kubernetes. |
| Recuperar | Ativos e operações afetados por um incidente de cibersegurança são restaurados. | Desenvolva e teste procedimentos de backup e recuperação para clusters Kubernetes. |
O Guia completo dos CNAPPs
Faça o download do Guia completo dos CNAPPs da CrowdStrike para entender melhor por que as plataformas de proteção de aplicações nativas em nuvem são componentes críticos das estratégias modernas de segurança na nuvem e como integrá-los melhor aos ciclos de vida de desenvolvimento.
Baixe agoraExplorando os benchmarks CIS para Kubernetes
Os Benchmarks CIS para Kubernetes atuam como um complemento à NIST CSF. Os controles CIS são um conjunto de práticas recomendadas concretas e diretamente acionáveis relacionadas à configuração de um cluster Kubernetes seguro. Os benchmarks abrangem de forma abrangente todos os componentes relevantes para a arquitetura do Kubernetes (como o painel de controle, etcd e nós de trabalho). Além disso, eles abordam a governança das workloads que os usuários colocam sobre esses componentes (como RBAC e segurança de pod).
Os benchmarks do CIS são um conjunto abrangente de verificações de configuração. Eles incluem tudo, desde a propriedade de arquivos de vários componentes (por exemplo, 1.1.4 Certifique-se de que a propriedade do arquivo de especificação do pod do gerenciador do controlador esteja definida como root:root) para verificações manuais a fim de garantir que as políticas e os procedimentos que governam o cluster estejam definidos corretamente (por exemplo, 3.2.2 Garanta que a política de auditoria abranja as principais preocupações de segurança).
As organizações podem usar a automação para verificar a maioria desses benchmarks, e os benchmarks restantes podem ser avaliados como parte de um processo de auditoria manual.
A seguir estão os controles explícitos que são verificados usando os Benchmarks do CIS:
| Componentes do painel de controle |
|
| Configuração do painel de controle |
|
| Nós do trabalhador |
|
| Políticas |
|
Os Benchmarks CIS possuem políticas gerais e recomendações de segurança adicionais que não se enquadram em nenhuma dessas categorias, mas vale a pena observá-las. Exemplos incluem aplicar contexto de segurança aos seus pods e containers (5.7.3) e não usar o namespace padrão para workloads (5.7.4).
História do cliente: Porter Airlines
Leia esta história do cliente e saiba como a Porter Airlines consolida sua segurança de nuvem, identidade e endpoint com a CrowdStrike.
Baixe agoraComparando os frameworks NIST e CIS
O escopo e o foco desses dois frameworks atendem a abordagens complementares. O NIST tem um foco amplo, que vai além dos clusters do Kubernetes, mas ainda pode ser aplicado à administração de clusters. Os Benchmarks CIS fornecem orientações específicas sobre como operar um cluster do Kubernetes e muito mais com segurança, com um conjunto mensurável de benchmarks que você pode usar para determinar uma pontuação de integridade.
O framework do NIST se presta a uma abordagem mais estratégica, configurando o trabalho que você realizará para melhorar a segurança dos seus clusters. Ele é adequado para um plano de alto nível para abordar algumas metas de cibersegurança organizacional relacionadas ao Kubernetes.
Os benchmarks CIS são mais táticos, oferecendo áreas individuais para melhorar ou reforçar em partes discretas. Eles fornecem uma visão detalhada de quão bem (ou mal) seus clusters estão configurados. Eles também fornecem um número concreto que você pode usar como referência (como quantos benchmarks você passa/falha por cluster). Isso pode ser transformado em uma métrica de saúde usada para áreas de melhoria.
Quando combinados, o NIST e o CIS oferecem um framework de cima para baixo para orientar sua organização rumo à excelência em segurança, com um conjunto de benchmarks técnicos de baixo para cima para responsabilização enquanto você trabalha para melhorar a segurança de cada cluster.
Implementar esses dois frameworks na sua organização pode ser assustador. O documento CIS abrange mais de 300 páginas, descrevendo cada benchmark CIS em detalhes. Enquanto isso, o framework do NIST é um documento de 30 páginas com diretrizes gerais que sua organização precisa concretizar.
Saiba mais
Explore esta página e agende uma demonstração para saber como o CrowdStrike Falcon Cloud Security cria menos trabalho para as equipes de segurança, protege contra ataques à nuvem e otimiza implementações multinuvem.
Conte com a CrowdStrike para obter orientação sobre a segurança do Kubernetes
O NIST oferece um conjunto de funções, categorias e subcategorias que uma organização pode usar para planejar como atenderá às metas de cibersegurança de alto nível. O framework do NIST se organiza com funções principais que se resumem a componentes muito mais específicos e concretos para ajudar a mitigar o risco organizacional. Os Benchmarks CIS para Kubernetes oferecem orientação de implementação concreta que pode se encaixar nessas categorias; é um framework que fornece verificações individuais de aprovação ou reprovação para configurar corretamente o Kubernetes.
A CrowdStrike é líder comprovada no setor de cibersegurança, e a plataforma CrowdStrike Falcon® ajuda as organizações a cumprir os frameworks NIST e CIS. Ela ajuda as organizações a implementar controles NIST, abrangendo vários níveis de famílias de controle. Além disso, a CrowdStrike fez uma parceria com o CIS para criar os Benchmarks CIS na plataforma Falcon, levando à rápida configuração do Benchmarks CIS para Kubernetes.
Se você quiser ver como a plataforma CrowdStrike Falcon pode simplificar a proteção de seus ambientes Kubernetes usando os frameworks NIST e CIS, leia como a CrowdStrike pode ajudar você a se preparar para o futuro do NIST CSF e solicite uma avaliação gratuita para começar hoje mesmo.
Karishma Asthana é Gerente Sênior de Marketing de Produtos para segurança de nuvem na CrowdStrike, sediada em Nova York. Ela é bacharel em Ciência da Computação pelo Trinity College. Com formação em engenharia de software e testes de penetração, Karishma aproveita sua formação técnica para conectar os pontos entre avanços tecnológicos e valor para o cliente. Tem mais de 5 anos de experiência em marketing de produtos nas áreas de segurança de endpoint e nuvem.
