Aplicación de una infraestructura Zero Trust en Kubernetes
Para la mayoría de las empresas de hoy en día, no hay mayor preocupación que los riesgos de seguridad en la nube que pueden amenazar sus operaciones y recursos. Hay muchas razones y ventajas para hacer una transformación digital; sin embargo, la mayor amenaza es descuidar la elaboración de un plan o estrategia para protegerse contra las vulnerabilidades de seguridad de la nube para su implementación.
Una de las mejores formas de conseguirlo es eliminar la confianza de su red o aplicar una estrategia de Zero Trust. En este artículo, definimos la infraestructura de Zero Trust y, a continuación, explicamos su utilización para el despliegue y/o los servicios de Kubernetes.
¿Qué es una infraestructura Zero Trust?
Una famosa frase atribuida al presidente Ronald Reagan que, según se dice, utilizó muchas veces durante las reuniones con su homólogo soviético Mijaíl Gorbachov es «doveryai, no proveryai». En inglés, este término se traduce como «confía, pero verifica». Una interpretación más restringida -nunca confíes, siempre verifica- es el concepto central a partir del cual John Kindervag ideó el Modelo de Zero Trust para la ciberseguridad. Este modelo, tal y como se aplica hoy en día, se basa en los pilares de verificación, contextualización, seguridad y control de acceso.
En un modelo de Zero Trust como el de la figura anterior, no se confía en nada. Ninguna aplicación, base de datos, servicio o infraestructura es de confianza por defecto. Todo y todos deben ser auditados y verificados. Cuando una parte del inventario quiere hablar con otra, se comunica a través de una pasarela (como un servidor o un dispositivo de red) que se autentica de acuerdo con la política de acceso, concede el menor privilegio y se enruta a través de una VLAN especificada. Este enfoque, aunque aparentemente oneroso, añade adaptabilidad más allá del cumplimiento de la automatización a su seguridad en la nube y tiene claras ventajas.
Ventajas de Zero Trust
Instaurar la estrategia de confianza cero puede tener las siguientes ventajas para tu postura de seguridad:
- Rechazar automáticamente actividades sospechosas
- Limitar el acceso proporcionando Just-In-Time (JIT) y mínimo privilegio
- Detectar ataques y anomalías
- Comprobar y gestionar la accesibilidad de las versiones
Obtener estas ventajas requiere que incorpores el principio de mínimo privilegio (PoLP) cuando proporciones acceso a los recursos. Específicamente, esto significa que sólo el acceso mínimo necesario para cumplir la función esté disponible para los usuarios, programas y procesos.
Ahora, echemos un vistazo a cómo se puede aplicar esta estrategia de seguridad adaptable para apoyar el uso cada vez mayor de Kubernetes.
Cómo aplicar Zero Trust a Kubernetes
Los despliegues en la nube basados en contenedores están creciendo en el uso de entornos de producción. Esto se debe a su facilidad de uso a la hora de desplegar infraestructuras optimizadas y seguras. Kubernetes es uno de los sistemas de gestión que está liderando el camino debido a su flexibilidad, escalabilidad y automatización. Aunque esta plataforma incluye la gestión de secretos, no promueve implícitamente una metodología de Zero Trust. La confianza cero puede implementarse con los siguientes pasos:
- Identificar cada recurso
- Autentificar cada solicitud
- Proporcionar justo a tiempo y mínimo privilegio a las cargas de trabajo autenticadas
- Quitar privilegio una vez finalizada la tarea
- Supervisión, control y auditoría coherentes
Al instituir los requisitos anteriores para usuarios, programas y solicitudes de procesos para acceder a pods, puede reforzar su postura de seguridad de Kubernetes y evitar ataques de amenazas internas y externas. Un medio sencillo de aprovechar las ventajas de Kubernetes en un entorno de Zero Trust puede estar a mano utilizando las capacidades de autenticación de la carga de trabajo del Marco de Identidad de Producción Segura para Todos (SPIFFE). Además, Kubernetes cuenta con herramientas nativas que pueden utilizarse para añadir supervisión y visibilidad de la red, y para automatizar la creación de reglas y políticas.
Independientemente de cómo implemente una infraestructura de Zero Trust en Kubernetes, se recomienda que busque la experiencia de un consultor de seguridad de transformación digital para guiar a fondo el proceso.