Entenda os CNAPPs com o nosso guia
Veja os benefícios e as dicas de integração para plataformas de proteção de aplicação nativas em nuvem. Aprimore sua estratégia de segurança na nuvem.
Faça o download do guia agora
Entenda os CNAPPs com o nosso guia
Veja os benefícios e as dicas de integração para plataformas de proteção de aplicação nativas em nuvem. Aprimore sua estratégia de segurança na nuvem.
Faça o download do guia agora
O que é Kubernetes Security?
O Kubernetes Security é a aplicação de técnicas e processos para proteger aplicações nativas em nuvem em execução no Kubernetes (também conhecidos como K8s) contra vulnerabilidades ou atores mal-intencionados.
O Kubernetes é uma plataforma de orquestração de containers de código aberto projetada para melhorar a escalabilidade e a confiabilidade de aplicações nativas em nuvem. Seu robusto conjunto de funcionalidades e facilidade de integração o tornaram a escolha ideal para pequenas startups que buscam competir em um mercado global e para grandes empresas como Spotify e Major League Baseball que precisam atender a um público mundial.
No entanto, desbloquear todo o potencial dos K8s exige dependência de containers e microsserviços operando na nuvem, que vêm com suas próprias considerações de segurança exclusivas. Entender os problemas comuns de segurança do Kubernetes e superar seus desafios é o primeiro passo para aprimorar a postura geral de segurança de nuvem de uma aplicação.
Infográfico: Melhore sua postura de segurança na nuvem
Baixe este infográfico para saber como você pode melhorar sua postura de segurança e conformidade na nuvem abordando os desafios de segurança mais comuns em nuvens múltiplas e híbridas.
Baixe agoraProblemas comuns de segurança do Kubernetes
Um cluster típico do Kubernetes é composto por:
- Painel de controle: o painel de controle é o cérebro do cluster K8s. Ele expõe o cluster à API do Kubernetes, agenda a alocação e o provisionamento de recursos e responde a eventos dentro do cluster.
- Nós: é aqui que o trabalho é feito dentro do cluster K8s, hospedando e manipulando dados conforme as demandas da aplicação. Os nós são compostos por pods individuais menores que trabalham em conjunto.
Esses dois elementos do cluster do Kubernetes constituem uma parte significativa da superfície geral de ataque do Kubernetes. A própria aplicação pode introduzir vulnerabilidades de segurança adicionais por meio de código defeituoso e bibliotecas desatualizadas. Além disso, a flexibilidade do host do Kubernetes o torna uma superfície de ataque potencial.
Por exemplo, se uma organização implementa um cluster Kubernetes na nuvem pública, ela deve estar ciente de quaisquer vulnerabilidades de segurança potenciais pelas quais a plataforma é conhecida e limitar o acesso ao cluster o máximo possível.
Entender de onde vêm essas ameaças é essencial para melhorar a segurança do Kubernetes. De acordo com o Relatório Global de Ameaças 2024 da CrowdStrike, houve um aumento de 75% nas intrusões na nuvem em 2023, forçando as empresas a adaptar sua postura de segurança para enfrentar essa ameaça crescente.
Os problemas comuns de segurança do Kubernetes incluem os seguintes e devem ser abordados junto com outras vulnerabilidades comuns de segurança na nuvem:
- Configurações incorretas que desalinham as configurações de segurança ou expõem involuntariamente informações confidenciais
- Containers não seguros ou não autorizados
- Acesso não autorizado ao painel do Kubernetes
- Acesso não autorizado a solicitações de API ou portas de rede
- Configuração inadequada de ferramentas externas
- Políticas de gerenciamento de identidade e acesso configuradas incorretamente
Incidentes de segurança do Kubernetes
Não proteger adequadamente os clusters K8s e a infraestrutura ao redor pode levar a consequências devastadoras para os dados da aplicação e a receita operacional. A seguir estão alguns exemplos de ataques à segurança recentes no Kubernetes.
- Fevereiro de 2018: hackers acessaram um console de administração Kubernetes não seguro nas contas de nuvem de uma montadora. Após obterem acesso, eles instalaram malware para começar a minerar criptomoedas em sua infraestrutura. O hack também expôs dados confidenciais de telemetria proprietários.
- Julho de 2019: um erro de configuração de firewall expôs os clusters K8s de uma organização financeira à Internet pública, resultando em um ataque que roubou 30 GB de dados de solicitação de crédito.
- Agosto de 2023: pesquisadores descobriram que os clusters K8s pertencentes a mais de 350 organizações não estavam seguros e estavam acessíveis ao público devido a duas configurações incorretas. A lista de organizações incluía grandes empresas da Fortune 500, bem como pequenos negócios e projetos individuais.
- Janeiro de 2024: pesquisadores descobriram que um mal-entendido sobre grupos de permissão de acesso de usuários no Google Kubernetes Engine criou uma brecha de segurança que expôs milhões de containers a qualquer usuário com uma Conta do Google Uma empresa listada na Nasdaq foi nomeada como uma das organizações expostas por esse erro de configuração.
Fundamentos de gerenciamento de postura de segurança do Kubernetes
Os desenvolvedores devem considerar todo o ciclo de vida do Kubernetes ao tentar reforçar a postura de segurança de aplicações nativas em nuvem. Há duas áreas principais a serem consideradas:
- Antes do cluster do Kubernetes: como o Kubernetes depende de imagens do container, você deve garantir que os containers estejam seguros antes de entrarem no cluster. Tornar a varredura de imagens parte do pipeline de CI/CD garante que os containers sejam configurados e atualizados corretamente com as correções de segurança mais recentes e não introduzirão malware ou outras vulnerabilidades de segurança no cluster K8s.
- Dentro do cluster do Kubernetes: várias áreas dentro do cluster devem ser protegidas para mitigar o risco de atividade maliciosa ou exposição não intencional de dados.
- Painel de controle: os recursos do painel de controle são armazenados no etcd, portanto, o acesso ao etcd só deve estar disponível por meio da API do Kubernetes com as permissões adequadas.
- API do Kubernetes: a API é o método que usuários externos empregarão para acessar o painel de controle, portanto, limitar o acesso a usuários autorizados é essencial. Use os provedores OIDC (OpenID Connect) para proteger o acesso ao cluster K8s e use o RBAC para designar especificações de controle de acesso para cada objeto e namespace do Kubernetes. Você também pode empregar controladores de admissão do Kubernetes para monitorar e regular solicitações direcionadas ao servidor da API do Kubernetes para garantir que chamadas de API não autorizadas não cheguem ao seu cluster K8s.
- Rede: configurar políticas de rede permitirá que o Kubernetes crie firewalls que protegem contra acesso não autorizado ou a transferência de dados entre pods.
- Nós: os kubelets enviam comunicações entre o painel de controle e o mecanismo de container que alimenta a workload dentro dos nós. Proteger os kubelets de forma eficaz requer configurar e monitorar a comunicação entre a API do Kubernetes e o kubelet, bem como a comunicação entre o kubelet e o mecanismo de container.
- Container e tempo de execução: vulnerabilidades como erros de configuração, exploits de dia zero, elevação de privilégios e malware podem aparecer em containers implementados. A implementação de ferramentas de segurança do Kubernetes, como o CrowdStrike Falcon® Cloud Security, garante que todos os aspectos do container sejam monitorados e protegidos durante a implementação.
Além de proteger o ciclo de vida do K8s, coletar e manter os logs do Kubernetes permitirá que você solucione gargalos de desempenho, identifique lacunas de segurança e investigue ataques, caso ocorram. Usar o CrowdStrike® Falcon Next-Gen SIEM melhorará significativamente a visibilidade dos seus clusters Kubernetes e aumentará sua capacidade de responder a incidentes.
Saiba mais
Explore a série completa de Guias de Logs do Kubernetes:
- Parte 1: Conceitos básicos
- Parte 2: Conceitos avançados
- Parte 3: Centralizando os logs do Kubernetes
- Parte 4: Logs centralizados em um cluster Kubernetes
Ferramentas de segurança do Kubernetes
Algumas das ferramentas de segurança mais comuns do Kubernetes incluem:
| Plataforma/Ferramenta | Descrição |
|---|---|
| Falcon Cloud Security | O Falcon Cloud Security fornece capacidades de segurança abrangentes para ambientes do Kubernetes, ajudando organizações a proteger suas workloads em containers, detectar e responder a ameaças de forma eficaz e manter a conformidade com os requisitos regulatórios. |
| Falco | O Falco é uma ferramenta de segurança do Kubernetes de código aberto originalmente projetada pela Sysdig para detectar comportamento anormal em aplicações em containers. Ele usa métricas de tempo de execução e chamadas de sistema para identificar potenciais ameaças de segurança, fornecendo alertas em tempo real e visibilidade nos clusters do Kubernetes. |
| Falcon Sidekick | O Falco Sidekick é uma ferramenta complementar de código aberto para o Falco que amplia suas capacidades de gerenciamento de alertas e notificações. Ele se integra a vários canais de comunicação, como Slack e e-mail, para fornecer alertas e notificações em tempo real para eventos de segurança detectados pelo Falco. |
| Benchmark do Kubernetes CIS | Os benchmarks do CIS fornecem diretrizes para proteger implementações do Kubernetes. Várias ferramentas de código aberto, como o kube-bench, podem automatizar a avaliação de clusters do Kubernetes em relação a esses benchmarks, ajudando a garantir a conformidade e a adesão às melhores práticas de segurança. |
| Kube-hunter | O Kube-hunter é uma ferramenta de teste de intrusão de código aberto projetada especificamente para ambientes Kubernetes. Ele identifica potenciais vulnerabilidades de segurança e configurações incorretas em clusters do Kubernetes, ajudando as organizações a lidar proativamente com os riscos de segurança. |
| Kube-Bench | O Kube-bench é uma ferramenta de código aberto que verifica implementações do Kubernetes em relação ao CIS Kubernetes Benchmark. Ele automatiza o processo de verificações de benchmark, fornecendo às organizações insights sobre possíveis configurações incorretas de segurança e áreas para melhorias. |
| Kyverno | O Kyverno é um mecanismo de política nativo do Kubernetes de código aberto usado para impor políticas de segurança e práticas recomendadas. Ele permite que as organizações definam e apliquem políticas em todos os recursos do Kubernetes, garantindo conformidade, segurança e consistência operacional dentro do cluster. |
| OPA/Gatekeeper | O Open Policy Agent (OPA) com Gatekeeper é um mecanismo de aplicação de políticas de código aberto para Kubernetes. Ele permite que as organizações definam e apliquem políticas para configurações de recursos e controle de acesso, garantindo conformidade e segurança em todas as implementações do Kubernetes. |
Como a CrowdStrike pode ajudar
O Kubernetes oferece escalabilidade e capacidades de processamento robustos, mas sua complexidade traz inúmeros desafios para melhorar a segurança. Até mesmo uma simples configuração incorreta pode expor acidentalmente dados confidenciais ao público, então os desenvolvedores devem monitorar todos os aspectos do ciclo de vida do K8s em busca de possíveis vulnerabilidades.
O Kubernetes também é uma plataforma extremamente flexível, permitindo integração de terceiros com ferramentas que melhorarão sua postura de segurança por meio de mecanismos automatizados de varredura e alerta. Integrar ferramentas de segurança do Kubernetes que são executadas junto com suas workloads do K8s é crucial para maximizar a segurança.
O CrowdStrike Falcon® Cloud Security oferece proteção de containers, Kubernetes e host, desde a criação até o tempo de execução na AWS, Azure e Google Cloud, ao mesmo tempo em que garante a segurança em todas as etapas do pipeline de CI/CD.
Expert Tip
Verifique a integridade da sua nuvem e saiba como o Falcon Cloud Security protege containers e Kubernetes do código ao tempo de execução
Perguntas frequentes sobre segurança do K8s (Kubernetes)
P: O que é segurança do K8s?
R: A segurança do K8s (Kubernetes) refere-se às medidas utilizadas para proteger clusters, workloads e aplicações do Kubernetes contra ameaças à segurança. Isso inclui controle de acesso, políticas de rede, proteção em tempo de execução e segurança de imagens do container.
P: Quais são os quatro elementos da segurança do Kubernetes?
R: Os quatro elementos da segurança do Kubernetes são Nuvem, Cluster, Container e Código. Eles representam diferentes camadas de segurança:
- Nuvem: protege a infraestrutura e a rede em nuvem.
- Cluster: protege as configurações do Kubernetes, o RBAC e políticas de rede.
- Container: garante a segurança da imagem do container e a proteção em tempo de execução.
- Código: protege o código da aplicação contra vulnerabilidades antes da implementação.
P: Como fornecer segurança no Kubernetes?
R: A segurança do Kubernetes é garantida por meio de práticas recomendadas, como o RBAC, políticas de rede, varredura de imagens de containers, aplicação do princípio de privilégio mínimo e monitoramento de segurança em tempo de execução.
P: Quais são as preocupações de segurança do Kubernetes?
R: As principais preocupações de segurança no Kubernetes incluem configurações incorretas, acesso não autorizado, riscos na cadeia de suprimentos, elevação de privilégios e vulnerabilidades de containers. Os invasores podem explorar vulnerabilidades na segurança de APIs do Kubernetes, redes inseguras e imagens do container não corrigidas.
P: O que é segurança no Kubernetes?
R: A segurança no Kubernetes envolve a proteção de clusters contra ameaças por meio de autenticação, autorização, registro de logs, monitoramento e políticas de segurança automatizadas. Isso exige práticas contínuas de segurança em todas as camadas, da infraestrutura em nuvem ao código da aplicação.
Cody Queen é Gerente Sênior de Marketing de Produtos na CrowdStrike, liderando esforços de lançamento de produtos relacionados a shift-left e Falcon Cloud Security. Antes de ingressar na CrowdStrike, Cody trabalhou como profissional de marketing de produtos na Cybereason em segurança de endpoint e proteção de workload em nuvem e, anteriormente, na Dell Technologies nas áreas de APEX Cloud e negócios de segurança, principalmente em serviços de data center gerenciados. Ele também traz mais de 14 anos de experiência no setor público planejando, gerenciando e respondendo a ameaças à segurança contra os Estados Unidos.
