0
0
No cenário digital em rápida evolução de hoje, os microserviços em containers se tornaram o cerne do desenvolvimento e implantação de aplicativos. Assemelhando-se a máquinas virtuais em miniatura, essas entidades permitem a execução eficiente de código em qualquer ambiente, seja em um servidor local, na nuvem pública ou até mesmo em um laptop. Esse paradigma elimina os critérios de compatibilidade de plataforma e dependência de bibliotecas da equação de DevOps.
À medida que as organizações abraçam os benefícios de escalabilidade e flexibilidade oferecidos pela containerização, elas também precisam enfrentar os desafios de segurança inerentes a essa abordagem de arquitetura de software. Este artigo destaca as principais ameaças à infraestrutura de containers, fornece insights sobre estratégias de segurança relevantes e enfatiza a responsabilidade compartilhada de proteger aplicativos containerizados dentro de uma empresa.
Compreendendo a importância dos containers para aplicativos nativos de nuvem
Os containers desempenham um papel fundamental na simplificação e aceleração do processo de desenvolvimento. Servindo como os blocos de construção de aplicativos nativos de nuvem, eles estão profundamente ligados a quatro pilares da engenharia de software: o paradigma de DevOps, o pipeline CI/CD, a arquitetura de microserviços e a integração sem atritos com ferramentas de orquestração.
As ferramentas de orquestração formam a espinha dorsal dos ecossistemas de containers, fornecendo funcionalidades vitais, como balanceamento de carga, tolerância a falhas, gerenciamento centralizado e escalabilidade do sistema sem interrupções. A orquestração pode ser realizada por meio de diversas abordagens, incluindo serviços de provedores de nuvem, clusters Kubernetes autoimplantados, sistemas de gerenciamento de containers feitos sob medida para desenvolvedores e sistemas de gerenciamento de containers que priorizam a facilidade de uso.
O cenário de ameaças dos containers
De acordo com descobertas recentes da Sysdig, uma empresa especializada em segurança na nuvem, impressionantes 87% das imagens de containers têm vulnerabilidades de alto impacto ou críticas. Embora 85% dessas falhas tenham correções disponíveis, elas não podem ser exploradas porque os containers de hospedagem não estão em uso. Isso dito, muitas organizações têm dificuldades em priorizar as correções. Em vez de reforçar as proteções dos 15% das entidades expostas em tempo de execução, as equipes de segurança desperdiçam seu tempo e recursos em brechas que não representam risco.
De uma forma ou de outra, abordar essas vulnerabilidades requer o fortalecimento da infraestrutura subjacente. Além de configurar adequadamente os sistemas de orquestração, é crucial estabelecer um conjunto bem pensado de permissões de acesso para nós Docker ou Kubernetes. Além disso, a segurança dos containers depende da integridade das imagens usadas em sua construção.
Protegendo containers ao longo do ciclo de vida do produto
A jornada de um container abrange três estágios principais. A fase inicial envolve a construção do container e a submissão a testes funcionais e de carga abrangentes. Posteriormente, o container é armazenado no registro de imagens, aguardando seu momento de execução. A terceira fase, a execução do container, ocorre quando o container é iniciado e opera conforme o previsto.
A identificação precoce de vulnerabilidades é vital, e é aqui que o princípio de segurança “shift-left” desempenha um papel. Ele incentiva um foco intensificado na segurança desde as fases iniciais do ciclo de vida do produto, abrangendo o design e as fases de coleta de requisitos. Ao incorporar verificações de segurança automatizadas no pipeline CI/CD, os desenvolvedores podem detectar problemas de segurança precocemente e minimizar a chance de lacunas de segurança passarem despercebidas em estágios posteriores.
Em outra nota, a fase de integração contínua (CI) representa um momento crítico no ciclo de vida do desenvolvimento de software. Quaisquer falhas nessa fase podem expor as organizações a riscos significativos de segurança. Por exemplo, o uso de serviços de terceiros duvidosos para fins de teste pode inadvertidamente levar a vazamentos de dados na base de produtos.
Consequentemente, a segurança de containers exige uma abordagem abrangente, na qual cada elemento da cadeia de engenharia de software está sujeito a escrutínio meticuloso.
Responsabilidade de profissionais de segurança e desenvolvedores
Profissionais de segurança da informação tradicionalmente operaram em tempo real, resolvendo problemas à medida que surgiam. A adoção de ferramentas unificadas de implantação de aplicativos, como containers, facilita os testes do produto antes da implantação. Essa abordagem pró-ativa envolve a inspeção de containers em busca de código malicioso e componentes vulneráveis antecipadamente.
Para maximizar a eficácia dessa tática, é importante determinar quem é responsável por proteger a infraestrutura de containers dentro de uma organização. Essa responsabilidade deve ficar a cargo de especialistas em segurança da informação ou de desenvolvedores? A resposta pode não ser inequívoca.
No mundo dos containers, o princípio de “quem desenvolveu é o dono” muitas vezes tem prioridade. Os desenvolvedores são encarregados de gerenciar as defesas e garantir a segurança de seu código e aplicativos. Simultaneamente, uma equipe separada de segurança da informação formula regras de segurança e investiga incidentes.
Especialistas responsáveis pela segurança de containers devem possuir um conjunto diversificado de habilidades. As proficiências essenciais incluem a compreensão da infraestrutura, expertise em Linux e Kubernetes, e disposição para se adaptar ao cenário de orquestração de containers em rápida evolução.
Gerenciando segredos
Os microserviços em containers se comunicam entre si e com sistemas externos por meio de conexões seguras, exigindo o uso de segredos como chaves e senhas para autenticação. Salvaguardar esses dados sensíveis em containers é imperativo para evitar acesso não autorizado e vazamentos de dados. O Kubernetes fornece um mecanismo básico para o gerenciamento de segredos, garantindo que chaves e senhas não sejam armazenadas em texto simples.
No entanto, devido à ausência de um sistema abrangente de gerenciamento de ciclo de vida de segredos no Kubernetes, algumas equipes de TI recorrem a produtos ad hoc para enfrentar o desafio. Essas ferramentas simplificam o processo de adicionar segredos, supervisionam o uso de chaves ao longo do tempo e impõem restrições para evitar acesso não autorizado a dados sensíveis que fluem entre containers. Embora o gerenciamento de segredos possa ser complexo, as organizações devem priorizar a segurança de tais informações em ambientes containerizados.
Ferramentas de segurança em ecossistemas de containers
As organizações frequentemente enfrentam a questão da adequação de ferramentas de segurança tradicionais, como prevenção de perda de dados (DLP), sistemas de detecção de intrusões (IDS) e firewalls de aplicativos da web (WAF), para proteger containers. Firewalls clássicos de próxima geração (NGFW) podem se mostrar menos eficazes no controle do tráfego em redes de cluster virtuais. No entanto, ferramentas NGFW especializadas que operam dentro de clusters podem monitorar eficazmente os dados em trânsito.
Uma solução chamada Plataforma de Proteção de Aplicativos Nativos de Nuvem (CNAPP) é um instrumento importante nessa área. O principal ponto a favor dele é uma abordagem unificada para proteger ecossistemas baseados em nuvem. Com análises avançadas refletidas em um único console de front-end, o CNAPP fornece visibilidade abrangente em todas as nuvens, recursos e fatores de risco. Importante, ele identifica contexto em torno dos riscos em um ambiente de tempo de execução específico, o que é fundamental para priorizar as correções. Esses recursos ajudam as organizações a evitar pontos cegos em suas posturas de segurança e remediar problemas precocemente.
Para equilibrar o uso de soluções de segurança tradicionais e ferramentas focadas na proteção de ambientes de tempo de execução virtualizados, uma organização deve avaliar sua infraestrutura de TI para identificar quais partes são sistemas locais e quais são aplicativos nativos de nuvem. Vale ressaltar que firewalls, software antivírus e sistemas de detecção de intrusões ainda desempenham um ótimo trabalho na segurança do perímetro e dos pontos finais, portanto, definitivamente fazem parte do arsenal médio de uma empresa.
Olhando para o futuro
Containers oferecem inúmeros benefícios, mas também introduzem desafios de segurança distintos. Ao compreender esses desafios e enfrentá-los por meio das melhores práticas integradas em todo o ciclo de vida de desenvolvimento de software, as organizações podem estabelecer um território de containers resiliente e seguro.
Mitigar os riscos de segurança de containers requer uma colaboração entre desenvolvedores e especialistas em segurança da informação. Os desenvolvedores são responsáveis por gerenciar as defesas, enquanto a equipe de InfoSec estabelece regras de segurança e conduz investigações de incidentes. Ao aproveitar ferramentas e produtos de segurança especializados, as organizações podem gerenciar eficazmente segredos, monitorar o tráfego de containers e cuidar das vulnerabilidades antes que possam ser exploradas por atores maliciosos.
Para resumir, a segurança de containers é uma questão multifacetada que exige uma abordagem pró-ativa e colaborativa. Ao implementar medidas de proteção em todas as etapas do ciclo de vida do container e promover uma cooperação contínua entre equipes, as organizações podem construir uma base sólida para aplicativos baseados em microserviços seguros e resilientes.
Esse artigo tem informações retiradas do blog da AT&T. A Neotel é parceira da AT&T e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.