Práticas recomendadas de segurança do Kubernetes

O Kubernetes é o padrão indiscutível do setor para orquestração de containers, e sua ascensão está intimamente ligada à ampla adoção de tecnologias nativas em nuvem. No entanto, como os ataques à segurança continuam a aumentar globalmente, é necessário instituir e aderir às práticas recomendadas de segurança em seus clusters do Kubernetes, estejam eles no local ou na nuvem pública.

Neste artigo, forneceremos uma visão geral das principais recomendações para as melhores práticas de segurança do Kubernetes. Essas práticas são baseadas nos 4 Cs, projetados para ajudar as organizações a atingir a segurança ideal nas camadas primárias de ambientes típicos do Kubernetes. 

Os 4 Cs da segurança do Kubernetes

A plataforma Kubernetes desempenhou um papel importante na integração das equipes de desenvolvimento e operações à função agora conhecida como DevOps. Portanto, ao discutir a segurança do Kubernetes, é essencial considerar tanto os aspectos da aplicação quanto da infraestrutura. O framework de segurança dos 4 Cs aborda completamente os princípios de segurança em todas as quatro camadas por meio das quais o Kubernetes opera.

Código: o código da aplicação deve ser escrito de acordo com rigorosos padrões de segurança de código e deve seguir as diretrizes padrão de segurança da aplicação, como o OWASP Top Ten.

Container: a menor unidade de trabalho dentro de qualquer cluster do Kubernetes é um pod, que contém um ou muitos containers em execução na mesma rede local. Cada container em execução dentro de qualquer pod em produção deve usar uma imagem base e um ambiente de execução confiáveis.

Cluster: esta camada se refere diretamente a como o próprio Kubernetes é configurado. As políticas de acesso e as configurações de segurança de cada cluster Kubernetes devem ser cuidadosamente projetadas.

Cloud (Nuvem): como qualquer outro software, o Kubernetes é executado em hardware subjacente. A infraestrutura de nuvem que hospeda o Kubernetes deve ser devidamente protegida contra ataques.

Segurança de código

Revisões de código

A segurança do código da aplicação é frequentemente negligenciada à medida que os prazos para o lançamento de uma funcionalidade se aproximam. Não importa quão urgente um lançamento pareça, a segurança deve, idealmente, fazer parte dos critérios de aceitação de qualquer nova funcionalidade. As revisões de código devem considerar aspectos de segurança com alto grau de importância. Vários desenvolvedores devem participar do processo de revisão de código para garantir que as aplicações sigam os padrões de segurança tanto quanto os padrões gerais de codificação.

Ferramentas automatizadas de varredura de vulnerabilidades

Todo projeto de software depende de uma série de bibliotecas de terceiros. Essas dependências economizam tempo e permitem que os desenvolvedores se concentrem na lógica de negócios da aplicação em vez de problemas genéricos que já foram resolvidos. No entanto, como acontece com qualquer outro software, essas bibliotecas podem conter vulnerabilidades de segurança. Portanto, a varredura contínua de dependências de terceiros em busca de vulnerabilidades e a efetuar a correção antes que sua aplicação seja lançada para produção devem ser incorporadas ao pipeline de integração contínua/entrega contínua (CI/CD) como parte do processo de construção.

Segurança para containers

Implemente imagens confiáveis

As imagens do container que dão suporte à sua aplicação são criadas sobre uma imagem base, que geralmente contém dependências próprias. Para garantir os mais altos níveis de segurança do container, é recomendável usar a imagem base mais enxuta possível (com menos dependências quando possível, já que cada dependência é um vetor para potenciais vulnerabilidades de segurança). No entanto, não é possível fugir dessas dependências na realidade, então o uso de imagens confiáveis se torna essencial.

O ideal é que sejam utilizadas apenas imagens de fontes verificadas. Essas fontes incluem Imagens oficiais do Docker e o Programa de editores verificados do Docker. 

Execute regularmente uma varredura nas imagens e monitore o comportamento do tempo de execução

Assim como acontece com as dependências da aplicação, execute uma varredura nas suas imagens antes de implementá-las em um registro de container. O Kubernetes extrairá essas imagens e as utilizará para implementação. Mas, mesmo após a implementação, os tempos de execução do container devem ser monitorados continuamente para detectar possíveis anomalias causadas por malware ou acesso não autorizado.

Segurança do cluster

Implemente RBAC

A segurança do cluster pode ser dividida em vários domínios que devem ser cuidadosamente abordados. O controle de acesso deve ser controlado granularmente com controle de acesso baseado em função (RBAC) para que somente os privilégios necessários sejam concedidos aos operadores do cluster. 

Isole workloads usando namespaces

As workloads devem ser separadas com segurança com namespaces do Kubernetes para garantir o isolamento adequado da rede e fornecer uma camada adicional de controle de acesso. 

Aplique políticas de segurança de rede e pod

O tráfego de rede entre pods e serviços, bem como o tráfego de entrada e saída com fontes externas ao cluster, só deve ser permitido se necessário. O tráfego deve ser criptografado usando protocolos seguros, como TLS. Ferramentas de malha de serviço, como o Istio, podem ser utilizadas para simplificar esse processo. 

Proteja o servidor da API

Todas as atualizações e novas implementações no cluster são executadas enviando solicitações para a API do Kubernetes, manualmente pelos engenheiros de DevOps ou automaticamente por meio do pipeline de CI/CD (com ferramentas como o Helm). Portanto, o acesso à API do Kubernetes deve ser rigorosamente controlado e totalmente criptografado. 

Habilite os logs de auditoria

Caso ocorra qualquer tipo de comportamento inesperado no cluster, os logs de auditoria devem ser habilitados para ajudar a identificar a causa raiz. Os logs de auditoria servem como uma fonte abrangente de registros sobre ações e eventos. Esses logs podem ajudar a responder perguntas importantes, como o que aconteceu, quando aconteceu e quem causou.

Atualize regularmente os componentes do Kubernetes

Por fim, atualize rotineiramente o próprio Kubernetes, incluindo todos os softwares executados no cluster. Este é um requisito básico para segurança ideal, pois novas vulnerabilidades são descobertas e versões corrigidas do Kubernetes e seus componentes são lançadas regularmente.

Segurança da infraestrutura de nuvem

Acesso seguro ao servidor API

O servidor de API deve implementar autenticação rigorosa. O nó do painel de controle que o hospeda não deve permitir tráfego de todas as fontes. 

Endureça os nós

A infraestrutura que executa o Kubernetes deve aderir ao seu próprio conjunto de medidas de segurança. Cada instância em um cluster, chamada de nó, deve implementar um firewall em nível de instância que, idealmente, também faria parte de um firewall em nível de sub-rede. 

Criptografe os segredos do Kubernetes

Criptografe os segredos do Kubernetes em repouso. Sempre que possível, use um gerenciador de segredos separado e isolado, como o HashiCorp Vault, para armazenar os segredos originais. Os gerenciadores de segredos fornecem funcionalidades que o Kubernetes não oferece, como rotação automática de segredos e geração dinâmica de segredos. O ecossistema Kubernetes fornece muitas definições de recursos personalizadas (CRDs) que facilitam a integração perfeita com esses gerenciadores de segredos. 

Realize auditorias regulares

Você deve auditar regularmente a configuração da sua infraestrutura de nuvem, pois ela é dinâmica por natureza e pode mudar significativamente ao longo do tempo.

Práticas adicionais

Além dos 4 Cs essenciais, há outras práticas de segurança que devem ser consideradas. 

Use controladores de admissão

Usar controladores de admissão para solicitar validação ao servidor de API fornece uma camada adicional de segurança para todas as solicitações recebidas.

Definir limites de recursos

Cada implementação deve ser configurada com limites de CPU e memória. Isso não serve apenas para otimizar custos, mas para mitigar riscos de negação de serviço, como ataques de exaustão de recursos. Os autoescaladores de pod também devem ser configurados com isso em mente. 

Habilite logs e monitoramento abrangentes

Configurar ampla observabilidade em seus clusters do Kubernetes geralmente é considerado uma boa prática. O ecossistema Kubernetes tem diversas ferramentas — como Prometheus, Grafana, Jaeger e Kiali — que juntas fornecem monitoramento em tempo real e métricas detalhadas que podem ser úteis ao investigar problemas de segurança. 

CrowdStrike: sua parceira confiável para segurança nativa em nuvem

Com mais de uma década de sucesso contínuo, o Kubernetes é usado por milhões de desenvolvedores em todo o mundo e é líder entre as soluções de orquestração de containers. No entanto, o Kubernetes exige segurança em todas as camadas para evitar vulnerabilidades que representem risco ativo na produção. 

Os quatro pilares da segurança do Kubernetes (os 4 Cs) e outras precauções podem ajudar sua organização a atingir os níveis ideais de segurança. No entanto, seguir essas práticas recomendadas pode ser árduo sem a assistência de ferramentas como o CrowdStrike Falcon® Cloud Security.

A CrowdStrike é líder do setor em segurança na nuvem, e o Falcon Cloud Security é uma plataforma poderosa que pode simplificar a complexidade da segurança do Kubernetes. Para saber mais sobre como o CrowdStrike pode ajudar sua empresa a proteger seus ambientes Kubernetes, experimente uma demonstração interativa hoje mesmo.