Red Hat Advanced Cluster Security for Kubernetes

25 de noviembre de 2024
Tipo de contenido:Hoja de datos

Introducción

Es necesario cambiar la forma en la que abordamos la seguridad para proteger las aplicaciones desarrolladas en la nube: debemos aplicar los controles en una fase más temprana del ciclo de vida del desarrollo de aplicaciones, utilizar la propia infraestructura para hacerlo, ofrecer mecanismos de protección sencillos para los desarrolladores y seguir el ritmo cada vez más rápido de las planificaciones de lanzamiento.

Red Hat® Advanced Cluster Security for Kubernetes es una solución que emplea la tecnología de StackRox para proteger las aplicaciones más importantes durante su diseño, implementación y ejecución. El software se implementa en su infraestructura de Kubernetes como una solución de seguridad autogestionada, o bien se puede utilizar como software como servicio (SaaS) totalmente gestionado. Además, se integra a sus herramientas y flujos de trabajo de DevOps actuales para garantizar la confiabilidad en materia de seguridad y cumplimiento normativo. El motor de políticas incluye cientos de controles integrados que permiten implementar las prácticas recomendadas de DevOps y de seguridad basadas en los estándares del sector, como los indicadores del Centro para la Seguridad de Internet (CIS) y los lineamientos del Instituto Nacional de Estándares y Tecnología (NIST); la gestión de la configuración de los contenedores y de Kubernetes; y la seguridad durante el tiempo de ejecución.

Red Hat Advanced Cluster Security for Kubernetes ofrece una arquitectura desarrollada en Kubernetes que permite proteger la plataforma y las aplicaciones con medidas de seguridad que ponen en marcha los equipos de DevOps y de seguridad de la información.

Solución de seguridad desarrollada en Kubernetes para aplicaciones en la nube

Funciones y ventajas

  • Menos costos operativos
    • Oriente a los equipos de desarrollo, operaciones y seguridad para que adopten un conjunto común de herramientas y prácticas de seguridad desarrolladas en Kubernetes, y ofrezca una serie de mecanismos de protección a los usuarios particulares.
    • Utilice controles propios de Kubernetes en las fases de diseño, implementación y tiempo de ejecución de la aplicación para mejorar la visibilidad y la gestión de los puntos vulnerables, las infracciones relacionadas con las políticas y la configuración, y el comportamiento durante el funcionamiento de la aplicación.
    • Detecte y solucione los problemas de seguridad en la fase de desarrollo para reducir los costos (enfoque shift left).
  • Reducción del riesgo operativo
    • Adapte la seguridad y la infraestructura para reducir el tiempo de inactividad de las aplicaciones con las funciones integradas de Kubernetes, como las políticas de red de Kubernetes para la segmentación y el controlador de admisión para la aplicación de las políticas de seguridad.
    • Utilice los controles desarrollados en Kubernetes para reducir las amenazas y aplicar las políticas de seguridad. De este modo, se reducen los problemas potenciales en las aplicaciones y en las operaciones de infraestructura. Por ejemplo, el uso de los controles para evitar los fallos de seguridad, para lo cual se debe indicar automáticamente a Kubernetes que disminuya al máximo la capacidad de los pods sospechosos o que elimine y reinicie las instancias de las aplicaciones vulneradas.
  • Aumento en la productividad de los desarrolladores
    • Busque activamente los puntos vulnerables en los repositorios, los procesos de desarrollo y la fase de producción.
    • Aproveche las ventajas del uso de Kubernetes y de las herramientas actuales de integración y distribución continuas (CI/CD) para ofrecer mecanismos de protección que permitan agilizar las tareas de los desarrolladores y, al mismo tiempo, mantener el nivel de seguridad deseado.
    • Sincronice las actualizaciones y el soporte con las versiones de Red Hat OpenShift® para obtener una mayor compatibilidad y funciones de seguridad más recientes.
    • Use los datos relacionados con puntos vulnerables certificados por Red Hat y garantice una mayor precisión y relevancia para los entornos de Red Hat OpenShift.

Detalles de las ventajas

SectorVentajas
Supervisión
  • Ofrece una visibilidad detallada de su entorno de Kubernetes, lo que incluye todas las imágenes, los pods, las implementaciones, los espacios de nombres y las configuraciones.
  • Detecta y revela el tráfico de la red en todos los clústeres, desde los espacios de nombres hasta las implementaciones y los pods.
  • Identifica los eventos graves en el sistema dentro de cada contenedor para facilitar la detección de incidentes.
Gestión de los puntos vulnerables
  • Detecta los puntos vulnerables del host y las posibles amenazas a la seguridad en Red Hat Enterprise Linux® CoreOS.
  • Analiza las imágenes en busca de los puntos vulnerables conocidos en determinados lenguajes, paquetes y capas de imágenes.
  • Indica las implementaciones y los puntos vulnerables de imágenes de mayor riesgo para responder primero a ellos.
  • Establece una relación entre los puntos vulnerables y los espacios de nombres, las implementaciones en ejecución y las imágenes.
  • Clasifica los resultados en función de la plataforma, el nodo o la carga de trabajo para simplificar el seguimiento y la propiedad.
  • Aplica las políticas en función de la información disponible sobre los puntos vulnerables en las fases de diseño, implementación y ejecución.
  • Integra ACS a soluciones de terceros mediante roxctl o la interfaz de programación de aplicaciones (API) para proporcionar notificaciones de los puntos vulnerables en las herramientas que los equipos utilizan a diario (Jira y ServiceNow).
Cumplimiento normativo
  • Evalúa el cumplimiento de los controles técnicos previstos en distintos marcos normativos y de seguridad, como CIS, la Industria de Tarjetas de Pago (PCI), NIST SP 800-53, las guías STIG de DISA y los estándares NERC-CIP.
  • Comprueba el cumplimiento normativo general de los controles de cada estándar y brinda la posibilidad de exportar las pruebas para los auditores.
  • Accede a visualizaciones detalladas de la información sobre el cumplimiento normativo para identificar los clústeres, los espacios de nombres, los nodos o los espacios de nombres de las implementaciones que requieren soluciones.
  • Programa los análisis de cumplimiento y automatiza la creación de informes basados en pruebas.
Segmentación de las redes
  • Permite visualizar el tráfico en curso entre los espacios de nombres, las implementaciones y los pods y determinar la cantidad de este que está permitido. En el análisis se incluyen las exposiciones al exterior durante el tiempo de ejecución.
  • Identifica los procesos en ejecución que reciben información de los puertos.
  • Identifica el tráfico de red anómalo e informa y aplica las políticas en tiempo de ejecución.
  • Alerta sobre las infracciones de las políticas en caso de detectarse tráfico no autorizado.
  • Genera un gráfico de conectividad y muestra las diferencias contextuales entre dos versiones de la aplicación antes de su implementación.
  • Simula los cambios en la política de red durante el tiempo de ejecución antes de que se implementen, de modo que pueda reducir el riesgo operativo en el entorno.
  • Analiza el manifiesto de la aplicación antes de la implementación para crear un enfoque shift left para las políticas de red de Kubernetes.
Creación de perfiles de riesgo
  • Clasifica las implementaciones en ejecución de manera intuitiva en función del riesgo general para la seguridad. Para hacerlo, combina diversos factores como los puntos vulnerables, las infracciones en las políticas de configuración y la actividad durante el tiempo de ejecución.
  • Realiza un seguimiento de los cambios en la estrategia de protección de sus implementaciones de Kubernetes para comprobar la eficacia de las medidas que adopta su equipo de seguridad.
  • Busca implementaciones en ejecución en todos los clústeres para crear modelos de vectores de amenazas y detectar patrones de riesgo.
Gestión de la configuración
  • Ofrece políticas de DevOps y de seguridad diseñadas previamente que permiten identificar infracciones en la configuración relacionadas con las exposiciones de la red, los contenedores con privilegios, los procesos que se ejecutan como superusuarios y el cumplimiento normativo de los estándares del sector.
  • Analiza la configuración del control de acceso basado en funciones (RBAC) de Kubernetes para verificar que los privilegios de las cuentas de los usuarios o los servicios sean los adecuados y que no existan configuraciones erróneas.
  • Realiza un seguimiento de los secretos y detecta las implementaciones que los utilizan para limitar su acceso.
  • Aplica las políticas de la configuración en la etapa de diseño (mediante la integración CI/CD) y en la de implementación (mediante el control dinámico de admisión).
Detección del tiempo de ejecución y medidas de respuesta
  • Supervisa los eventos para detectar cualquier actividad anómala que indique una amenaza con relación a los objetos de Kubernetes.
  • Implementa respuestas automatizadas que no son destructivas y que utilizan controles desarrollados en Kubernetes sin afectar las operaciones empresariales.
  • Evalúa la actividad de los procesos en los contenedores según estándares y elabora listas blancas de ellos de manera automática, para que no deba hacerlo manualmente.
  • Utiliza políticas diseñadas previamente para detectar la presencia de criptominería, el aumento inapropiado de privilegios y diversos ataques.
  • Supervisa los eventos de administración de Kubernetes y bloquea los comportamientos maliciosos.
  • Integra soluciones externas de gestión de la información y los eventos de seguridad (SIEM) y de organización, automatización y respuesta de seguridad (SOAR) para potenciar flujos de trabajo de resolución de problemas. 
Recursos de políticas de seguridad
  • Identifica las fallas en la configuración de seguridad (como la exposición a la red, los contenedores con privilegios o los procesos que se ejecutan como superusuario) con políticas ya configuradas que pueden aplicarse en la fase de diseño, implementación o ejecución.
  • Crea políticas personalizadas basadas en diseños de Kubernetes, como la API de Kubernetes, los registros de auditorías y los recursos del espacio de nombres.
  • Proporciona seguridad de la cadena de suministro al integrar Advanced Cluster Security a los canales de CI/CD para comprobar la existencia de puntos vulnerables conocidos y errores de configuración antes de su implementación.
  • Verifica las firmas de las imágenes para determinar su autenticidad e integridad.
  • Analiza la configuración del control de acceso basado en funciones (RBAC) de Kubernetes para detectar si los privilegios de las cuentas de los usuarios o los servicios no son los adecuados y si existen configuraciones erróneas.
  • Realiza un seguimiento de los secretos y detecta las implementaciones que los utilizan.
  • Amplía la administración de políticas a través del uso de etiquetas Kubernetes y de la gestión de políticas como código.
Integraciones
  • Proporciona una API amplia y plugins diseñados previamente que pueden integrarse a sistemas de DevOps, como las herramientas de CI/CD, los análisis de imágenes, la solución sigstor, los registros, el tiempo de ejecución de los contenedores, las soluciones SIEM y las herramientas de notificaciones.


¿Desea ver el funcionamiento de Red Hat Advanced Cluster Security?

Comience una prueba gratuita hoy mismo

Etiquetas:Automatización de la seguridad