No es la primera vez que hablamos de los problemas de seguridad que pueden derivarse de una mala implementación de Kubernetes y mucho nos tememos que tampoco será la última.
En este sentido, un estudio desarrollado por investigadores de la Shadowserver Foundation muestra que la práctica totalidad de los servidores API de Kubernetes están expuestos a la Internet pública, lo que incrementa significativamente las posibilidades de que sean atacados y que por lo tanto, se comprometa la seguridad de las empresas.
En este sentido, en el estudio se explica que de los 450.000 servidores API de Kubernetes identificados por esta organización, 380.000 admitían algún tipo de acceso desde Internet, siendo Estados Unidos (con un 52% de los servidores identificados) el país más laxo en este aspecto. Esto hace que la seguridad en la nube sea aún más difícil, ya que requiere una mejor supervisión, capacidad de observación y conocimiento de las interdependencias en las aplicaciones cloud de la empresa.
«Aunque esto no significa que estas instancias estén totalmente abiertas o totalmente vulnerables a un ataque, es probable que este nivel de acceso no haya sido previsto, y estas instancias aumentan una superficie de ataque que está innecesariamente expuesta», han explicado los investigadores, añadiendo además que esta forma de trabajar «también facilita la fuga de información sobre la versión y las compilaciones».
Para poner remedio a esta situación, Shadowserver sugiere que las empresas implementen nuevos permisos de acceso a nivel de firewall, modo que se reduzca la superficie de ataque expuesta.
«Aunque Kubernetes proporciona enormes beneficios a las empresas para la entrega ágil de aplicaciones, hay algunas características que lo convierten en un objetivo de ataque ideal para su explotación» asegura Erfan Shadabi, uno de los investigadores que firma este estudio.»El hecho es que al gestionar muchos contenedores, Kubernetes tiene una gran superficie de ataque que podría ser explotada si no se asegura preventivamente».
Es cierto que Kubernetes ofrece características de seguridad incorporadas, como el control de acceso basado en roles, las políticas de seguridad de los pods y las políticas de red, que si se utilizan correctamente deberían proporcionar a las empresas una protección adecuada contra los ciberataques. Sin embargo, como también explica este investigador, Kubernetes cubre mucho terreno y ejecutará cualquier contenedor que se le indique, sin escanear en busca de posibles vulnerabilidades o contenido malicioso.
Esto significa que las empresas necesitan tener buenas prácticas de datos y potencialmente aprovechar las herramientas externas para reforzar las brechas de seguridad que presenta el sistema basado en contenedores.
La forma más rápida de dar el salto…con seguridad
Como hemos visto, asegurar el trabajo con Kubernetes no siempre es sencillo. Pero no tiene por qué ser tampoco un dolor de cabeza, ni a la hora de implementar un nuevo entorno ni a la hora de hacerlo con total seguridad.
Y esto es algo que promete VMware en una oferta en la que promete que las ventajas de trabajar con contenedores puede ser compatible con un entorno de TI clásico, en el que aún se mueven la mayoría de las empresas.
En este sentido en su eBook «Introducción a VMware vSphere with Kubernetes», la compañía pone en manos de los responsables tecnológicos un documento en el que…
-Descubrirán qué es VMware vSphere with Kubernetes.
-Entenderán el valor que un espacio de nombres de Kubernetes ofrece tanto a los administradores de VMware como a los desarrolladores.
-Comprenderán las diferencias entre vSphere Pod Service y un clúster de Tanzu Kubernetes.
-Aprenderán a a utilizar vSphere with Kubernetes y VMware Cloud Foundation Services.
-Y lo harán con seguridad.