Seguridad en Kubernetes: cómo proteger tus cargas de trabajo

4min

Kubernetes no es invulnerable ni está exento de ser atacado, por lo que debemos dotar a nuestra infraestructura de suficientes sistemas y procedimientos de seguridad. Abordamos esta cuestión en este artículo con una serie de recomendaciones.

Índice

Cifrado de datos

Empezar por cifrar los volúmenes de datos a través del algoritmo AES-256 es un buen comienzo, aunque se puede extender también este cifrado a los volúmenes de inicio y a los backups de servidor. Los datos transferidos entre los servidores circulan por una red de alta seguridad interna para ser protegidos. 

Algunas empresas tienen sus propios estándares de seguridad, fijados por sus equipos internos. Pero es cierto que esta no es la regla general y hay veces en las que no se cuentan con recursos suficientes para hacerlo. 

Seguridad en el acceso a clusters privados

En los clusters privados puedes limitar el acceso de Kubernetes tanto en la red local como en un bastión host, un consejo de seguridad que se da casi siempre. Y esto se debe a que la configuración de un bastón host se puede convertir en un problema cargado de errores y una vulnerabilidad para cualquier ataque. Así que pensar en un acceso SSH seguro para los recursos privados es una idea interesante, ofreciendo un servicio más seguro y otra capa de seguridad más frente a cualquier amenaza.

Establecer roles en clusters de Kubernetes

Hacemos referencia a establecer permisos distinguidos a determinadas personas, y en este caso interesa autorizar a determinadas personas para acceder a según qué clusters. Controlar el acceso a la red de Kubernetes es una de las primeras barreras frente a cibercriminales. 

Si no tienes mucha idea sobre esto, Managed Kubernetes puede serte útil porque nos encargaremos de hacer fácil el uso de esta plataforma. Queda claro que los administradores y desarrolladores son los profesionales a los que más les interesa esto con el fin de resolver problemas en un cluster. 

Un método de autenticación más exigente

Uno de los problemas más comunes es establecer contraseñas fáciles de descifrar, por lo que hay que recurrir a caracteres especiales o a una clave determinada. La clave pública RSA en formato PEM sirve, pero es recomendable añadir un segundo factor para hacer la autenticación más segura. 

Con una autenticación multifactor:

  • La clave RSA es el primer factor.
  • Después, se tiene que proporcionar un código de verificación vinculado a un dispositivo (smartphone o equipo), que sería el segundo factor. 

Esto es algo muy extendido ¿por qué no hacerlo en Kubernetes?

Bloquea vulnerabilidades en Kubernetes y obtén más seguridad

Hablamos de los contenedores desplegados de Kubernetes y de sus aplicaciones. Es posible asegurarse de que los intrusos se queden lejos de las imágenes del contenedor a través de la verificación de imágenes

Por ejemplo, se puede activar un escáner en la imagen de un contenedor para verificar que no tiene vulnerabilidades. Es una manera de firmar imágenes en los clusters, por lo que podemos restringir el despliegue a los que tienen imágenes firmadas. De esta manera, protegemos toda nuestra plataforma de malware

No descartes una auditoría 

Las auditorías son muy interesantes para saber cuál es el estado actual de la seguridad en Kubernetes. Normalmente, se hace una auditoría de la actividad del servicio en su totalidad, la cual ayuda a identificar vulnerabilidades, ausencias de seguridad o si un cluster está siendo atacado. 

No te olvides de echar un vistazo a nuestros servicios de Kubernetes, en los que pagarás por el uso de los recursos utilizados, ¡ni más, ni menos!

Fernando Fuentes

Productos relacionados: