Automatización del examen de contenedores, incluyendo las imágenes de contenedor
Los términos análisis de contenedores y de imágenes de contenedor se usan a menudo indistintamente, aunque hacen referencia a aspectos ligeramente diferentes del análisis de composición de software en entornos contenedorizados. Por lo general, el examen de contenedores hace referencia al proceso de detección de vulnerabilidades, configuraciones incorrectas o problemas de seguridad en aplicaciones en contenedores. Tiene como destino el entorno de ejecución, las dependencias, las bibliotecas y las opciones de configuración dentro de los contenedores. El análisis de imágenes de contenedor se centra en las imágenes de contenedor. Implica inspeccionar las capas, paquetes, bibliotecas y configuraciones de la imagen de contenedor para identificar problemas como vulnerabilidades de seguridad y dependencias obsoletas. El examen de imágenes suele tener como destino las imágenes de contenedor que residen en los registros de contenedor.
Hay numerosas herramientas y técnicas de análisis de contenedores que admiten plataformas de Azure DevOps y GitHub. En general, puede aprovechar los servicios independientes de la plataforma, como Microsoft Defender for Cloud, o incorporar herramientas de examen directamente en Azure Pipelines o Acciones de GitHub.
Microsoft Defender for Cloud
Microsoft Defender for Cloud es una plataforma de protección de aplicaciones nativas de la nube que implementa medidas y prácticas de seguridad diseñadas para proteger las cargas de trabajo basadas en la nube de una amplia gama de ciberamenazas. Incluye compatibilidad con el examen de imágenes y contenedores aprovechando las funcionalidades de Microsoft Defender para contenedores y administración de vulnerabilidades de Microsoft Defender.
Microsoft Defender para contenedores
Microsoft Defender para contenedores es una solución nativa de la nube que tiene como objetivo mejorar la seguridad de los entornos en contenedores, incluidos los clústeres de Kubernetes, los registros de contenedor y las imágenes de contenedor, en entornos multinube y locales. Su funcionalidad se puede agrupar en cuatro categorías principales:
- La Administración de la posición de seguridad realiza la supervisión continua de las cargas de trabajo de Kubernetes para detectar recursos en la nube, inventariarlos, detectar sus configuraciones incorrectas, proporcionar instrucciones de corrección, evaluar los riesgos correspondientes y ayudar con la búsqueda de riesgos mediante el Explorador de seguridad de Defender for Cloud.
- La Protección contra amenazas en tiempo de ejecución ofrece detección de amenazas para clústeres de Kubernetes, alineados estrechamente con el marco MITRE ATT&CK y la integración con una amplia gama de productos de administración de eventos e información de seguridad (SIEM) y detección y respuesta extendidas (XDR).
- La Implementación y la supervisión facilitan la implementación de clústeres de Kubernetes y el seguimiento de su estado.
- La Evaluación de vulnerabilidades proporciona una evaluación de vulnerabilidades sin agente para los recursos multinube, incluida la guía de corrección y el examen automatizado.
La evaluación de vulnerabilidades se basa en la administración de vulnerabilidades de Microsoft Defender.
Administración de vulnerabilidades de Microsoft Defender
La Administración de vulnerabilidades de Microsoft Defender ofrece una funcionalidad de análisis de imágenes basada en desencadenadores que tiene como destino imágenes en los registros de Azure Container Registry (ACR). Genera automáticamente informes que documenta vulnerabilidades y las correcciones correspondientes para cada imagen. También proporciona análisis de contenedores implementados en clústeres de Azure Kubernetes Service (AKS) basados en imágenes extraídas de cualquier registro compatible con Defender for Cloud, incluidos, además de ACR, los nativos de Amazon Web Services (AWS) y Google Cloud Platform (GCP), como Elastic Container Registry (ECR), Google Container Registry (GCR) y Google Artifact Registry (GAR).
Todas las imágenes almacenadas en ACR que cumplen los criterios para los desencadenadores de examen se examinan automáticamente en busca de vulnerabilidades sin ninguna configuración adicional. Estos criterios se pueden agrupar en dos categorías principales:
- Desencadenado por operaciones de inserción, importación y extracción. En el caso de inserción o importación, normalmente se completa un examen en unos minutos, pero puede tardar hasta una hora. Después de las extracción individuales, las imágenes se examinan en un plazo de 24 horas.
- Se ejecuta continuamente para las imágenes que se han examinado previamente para detectar vulnerabilidades con el fin de actualizar sus informes de vulnerabilidades para tener en cuenta las vulnerabilidades recién publicadas. Estos exámenes se realizan una vez al día para las imágenes insertadas en los últimos 90 días, las imágenes extraídas en los últimos 30 días e imágenes que se ejecutan en los clústeres de Kubernetes supervisados por Defender for Cloud.
Las recomendaciones con informes de vulnerabilidades se proporcionan para todas las imágenes de ACR, así como para las imágenes que se ejecutan actualmente en clústeres de Azure Kubernetes Service (AKS). Después de realizar los pasos recomendados para corregir el problema de seguridad y reemplazar la imagen en el Registro, Microsoft Defender for Cloud vuelve a examinar automáticamente la imagen para confirmar que las vulnerabilidades ya no existen.
Incorporación de herramientas de análisis directamente en Azure Pipelines o Acciones de GitHub.
Puede incorporar el análisis de contenedores e imágenes directamente en las canalizaciones de CI/CD para identificar automáticamente las vulnerabilidades y garantizar el cumplimiento. El proceso comienza seleccionando una herramienta de análisis adecuada compatible con la plataforma correspondiente, como Aqua disponible como extensión de seguridad de DevOps o Trivy GitHub Action. A continuación, puede integrar la herramienta de análisis elegida en el proceso de compilación para analizar imágenes de contenedor para detectar vulnerabilidades y problemas de cumplimiento. El examen de contenedores debe aplicarse durante la fase de CD para evaluar el resultado de la implementación.
Como parte de la integración de CI/CD, considere la posibilidad de evitar la implementación de imágenes en caso de que su examen notifique un incumplimiento. Al implementar flujos de trabajo en GitHub, aproveche sus funcionalidades de Dependabot para detectar y crear solicitudes de incorporación de cambios para actualizar las dependencias en imágenes de contenedor, incluidos Dockerfiles, manifiestos de paquete y otros archivos de configuración. Automatice las acciones de corrección, como la aplicación de revisiones a vulnerabilidades o la regeneración de una imagen, en función de los resultados del examen. Implemente la supervisión continua y las revisiones de los resultados del examen, aprovechando paneles, informes y notificaciones específicos de la plataforma.