Compartir a través de

Información general de la fase de ejecución

  • Artículo

La fase de ejecución es la quinta fase del marco de la cadena de suministro segura (CSSC) de contenedores. Esta fase hace hincapié en el examen y la supervisión de los entornos en tiempo de ejecución y purgarlos de imágenes obsoletas y vulnerables. En esta introducción se proporcionan los antecedentes, los objetivos y los objetivos de la fase de ejecución del marco CSSC.

El marco de la cadena de suministro segura (CSSC) de contenedores de Microsoft identifica la necesidad de ejecutar contenedores con imágenes de confianza y proporciona un conjunto de procedimientos recomendados y herramientas para ayudar a ejecutar imágenes de forma segura y reducir la superficie expuesta a ataques del tiempo de ejecución. En este artículo, obtendrá información sobre los objetivos, los procedimientos recomendados y las herramientas que puede usar en la fase de ejecución del marco CSSC.

Fondo

Actualmente, las empresas usan varios enfoques para ejecutar cargas de trabajo en contenedores compatibles con imágenes de confianza. La supervisión de cargas de trabajo implementadas proporciona a las empresas la validación de que el estado operativo verdadero es el estado esperado. Las imágenes de carga de trabajo se volverán vulnerables en el momento de la implementación o después de implementarlas. Se recomienda a las empresas examinar continuamente sus entornos de ejecución e imágenes para detectar qué cargas de trabajo ahora son vulnerables y qué imágenes no son compatibles para recibir actualizaciones de seguridad o correcciones de errores.

La fase de ejecución del marco CSSC recomienda un conjunto de pasos y controles de seguridad que se deben implementar para asegurarse de que los contenedores en ejecución y los hosts en tiempo de ejecución son seguros, como reciclar nodos de forma oportuna, actualizar los contenedores con imágenes de contenedor actualizadas y revisadas, quitar las imágenes de contenedor obsoletas, no en ejecución y evitar el comportamiento no deseado de los contenedores.

Microsoft recomienda ejecutar continuamente vulnerabilidades y analizadores de malware para cargas de trabajo en contenedores y tiempo de ejecución. Actualizar periódicamente los contenedores y los nodos, así como mantener limpios los nodos, son prácticas eficaces para proteger las aplicaciones contenedorizadas de poner en peligro.

  • Examine periódicamente la vulnerabilidad y el malware, y compruebe los metadatos del ciclo de vida de la imagen para identificar las imágenes que deben revisarse y actualizarse. Limpiar periódicamente imágenes obsoletas de la memoria caché en el nodo para reducir la probabilidad de que los actores incorrectos puedan usar imágenes obsoletas vulnerables.
  • Configurar mecanismos de autenticación y autorización seguros en entornos y contenedores de hospedaje, así como ejecutar contenedores como no raíz, ya que los atacantes no pueden acceder a los sistemas con facilidad y causar daños en peligro
  • Actualice periódicamente contenedores y nodos de trabajo. Esto garantizará que los contenedores y los nodos se ejecuten con las revisiones y correcciones de seguridad más recientes.
  • Reduzca la superficie expuesta a ataques mediante la restricción del puerto de contenedor y nodo, la restricción del acceso a la red de contenedores y habilite TLS mutua.
  • Aplicar restricciones de recursos a contenedores, como controlar la cantidad de memoria o cpu que puede usar un contenedor, para mitigar el riesgo de inestabilidad del sistema
  • Siga las instrucciones estándar del sector, como las pruebas comparativas de CIS, la guía de CISE, los procedimientos recomendados de la cadena de suministro de software CNCF, las instrucciones de NIST o las instrucciones del gobierno regional en función de sus necesidades.

Flujo de trabajo para entornos en tiempo de ejecución de análisis y supervisión continuos

La fase de ejecución tiene un flujo de trabajo para examinar y supervisar continuamente los entornos en tiempo de ejecución. El flujo de trabajo de fase de ejecución se aplica para purgar las imágenes de contenedor vulnerables y obsoletas. Es muy fundamental mantener seguros los entornos en tiempo de ejecución, el flujo de trabajo sigue estos pasos:

  1. Busque continuamente vulnerabilidades y malware en cargas de trabajo en contenedores y entornos en tiempo de ejecución para comprobar si hay posibles amenazas de seguridad.
  2. Actualice periódicamente contenedores y nodos de trabajo para asegurarse de que se ejecutan con las revisiones y correcciones de seguridad más recientes.
  3. Actualice periódicamente los contenedores y los nodos para proteger las aplicaciones en contenedores frente a riesgos y evite el riesgo de vulnerabilidades de revisiones y correcciones.
  4. Compruebe los metadatos del ciclo de vida de la imagen para identificar las imágenes que necesitan una actualización para ser más reciente y segura.
  5. Limpie periódicamente imágenes obsoletas de la memoria caché en el nodo para evitar que los actores incorrectos usen imágenes obsoletas vulnerables.
  6. Configure mecanismos de autenticación y autorización seguros en entornos y contenedores de hospedaje, así como en la ejecución de contenedores para evitar que los atacantes accedan a los sistemas con facilidad y causen daños en peligro.
  7. Reduzca la superficie expuesta a ataques mediante la restricción del puerto de contenedor y nodo, la restricción del acceso a la red de contenedores, la habilitación de TLS mutua y la aplicación de restricciones de recursos a contenedores, como controlar la cantidad de memoria o CPU que puede usar un contenedor, para mitigar el riesgo de inestabilidad del sistema.

Objetivos de seguridad en la fase de ejecución

La fase de ejecución del marco CSSC está pensada para satisfacer los siguientes objetivos de seguridad.

Supervisión del tiempo de ejecución para reducir la ejecución de imágenes vulnerables

Examine los contenedores para detectar vulnerabilidades y el cumplimiento de las directivas de la organización. Compruebe si los contenedores usan la versión más reciente de las imágenes.

Mantener actualizados los contenedores en tiempo de ejecución garantiza que los contenedores estén siempre libres de vulnerabilidades y sean compatibles con las directivas de la organización. Las imágenes deben supervisarse continuamente en todas las fases. Las nuevas imágenes de la fase De adquisición o compilación pueden desencadenar la actualización de contenedores en tiempo de ejecución en la fase De ejecución. Las imágenes se pueden actualizar por diversos motivos, como corregir vulnerabilidades, corregir el software que la licencia se convierte en no compatible y la imagen se convierte en un extremo de soporte técnico a lo largo del tiempo. Todas estas actualizaciones desencadenarán que se actualicen los contenedores en tiempo de ejecución.

Evitar imágenes no compatibles y limpiar imágenes obsoletas para minimizar el riesgo de ataque

Es habitual que las canalizaciones de CI/CD compilen e inserten imágenes en la plataforma de implementación en la fase De implementación a menudo, pero es posible que las imágenes sin usar en un nodo en tiempo de ejecución no se purguen regularmente. Esto puede provocar la acumulación de hinchazón en el disco y un host de imágenes no compatibles que persisten en los nodos. Es probable que también existan vulnerabilidades en imágenes obsoletas. La limpieza regular de imágenes obsoletas puede evitar el examen innecesario y reducir la superficie expuesta a ataques del entorno en tiempo de ejecución.

Mantener el entorno de hospedaje actualizado y con configuraciones seguras

Mantenga actualizado el entorno de hospedaje con las versiones de seguridad y las revisiones del proveedor de nube o ascendente de confianza. Asegúrese de un control de acceso estricto y un permiso de red limitado para reducir la superficie expuesta a ataques de los entornos en tiempo de ejecución. Adopte la detección en tiempo real del comportamiento inesperado, la configuración incorrecta y los ataques en el entorno de hospedaje.

Microsoft ofrece un conjunto de herramientas y servicios que pueden ayudar a las empresas a implementar los pasos recomendados en el flujo de trabajo de la fase de ejecución y abordar los objetivos de seguridad enumerados anteriormente.

Herramientas y servicios para el examen de vulnerabilidades y las imágenes de aplicación de revisiones

Microsoft Defender for Cloud es la solución nativa de la nube para mejorar, supervisar y mantener la seguridad de las cargas de trabajo en contenedores. Microsoft Defender for Cloud ofrece herramientas de evaluación y administración de vulnerabilidades para imágenes almacenadas en Azure Container Registry y contenedores en ejecución.

Herramientas y servicios para limpiar imágenes no compatibles

Azure Image Cleaner realiza la identificación y eliminación automáticas de imágenes. Use Azure Image Cleaner para limpiar imágenes obsoletas de nodos de Kubernetes para cargas de trabajo de contenedor de AKS, o use el borrador de código abierto para entornos que no son de AKS o vainilla de Kubernetes, lo que mitiga el riesgo de imágenes obsoletas y reduce el tiempo necesario para limpiarlas.

Herramientas para actualizar automáticamente el servicio en tiempo de ejecución

La actualización automática del clúster es un mecanismo que "se instala una vez y se olvida", lo que aporta ventajas tangibles en términos de tiempo y costos operativos. Habilitar la actualización automática de AKS garantiza que los clústeres están actualizados y no se pierden las versiones de seguridad ni las revisiones de AKS y Kubernetes ascendente si usa AKS.

Pasos siguientes

Consulte información general sobre la fase de observabilidad para observar de forma segura los contenedores y localizar posibles problemas de seguridad de la cadena de suministro a tiempo.