¿Qué es la seguridad de Kubernetes?

• Código de registros que no son de confianza. El código que no es de confianza puede incluir programas maliciosos o puertas traseras que podrían conceder acceso involuntariamente a los ciberdelincuentes.
• Imágenes base desmesuradas. Menos es más en lo que respecta a las aplicaciones contenedorizadas, por lo que los desarrolladores deben eliminar paquetes, bibliotecas y shells innecesarios que pudieran verse comprometidos.
  

• Concesión de privilegios innecesarios. Siempre que sea posible, mantenga los privilegios al mínimo e incluya solo los secretos que una tarea requiera para poder reducir la superficie de ataque.
• Aplicaciones del clúster no aisladas. Deben utilizarse espacios de nombres para separar los recursos y los equipos.
• Desplazamiento lateral dentro del clúster. Utilice políticas que segmenten la red para evitar el desplazamiento lateral de un ataque dentro del clúster.
• Acceso no autorizado. Asegúrese de que los controles de acceso basados en funciones (RBAC) estén configurados correctamente para limitar el acceso.
  

• Ataques a la infraestructura. Durante la ejecución, los elementos de la infraestructura de Kubernetes (como los servidores de API, los almacenes etcd y las controladoras) presentan sus propias superficies de ataque.
• Complejidad. El estado persistente de un clúster de Kubernetes introduce muchas variables en la ecuación. Los contenedores en peligro deben aislarse, detenerse y sustituirse rápidamente por otros en buen estado mientras se localiza y se corrige el origen del ataque.
  

Las prácticas recomendadas sugieren comenzar con imágenes mínimas, sin distribución, y añadir solo lo que sea absolutamente necesario. A menor tamaño, más seguridad.

• Use un sistema operativo host mínimo, finalice los montajes de solo lectura y use las opciones de SELinux para ejercer un control aún mayor.
• Analice las imágenes de arriba a abajo en busca de vulnerabilidades, incluidas las imágenes del sistema operativo y las imágenes externas de cualquier tipo. Ninguna fuente externa es de confianza.
• Haga uso de espacios de nombres y RBAC para segmentar el clúster y los usuarios de forma lógica. Solo debe estar a la vista aquello que es necesario que lo esté.
• Los valores predeterminados de la red de Kubernetes permiten las comunicaciones de cualquier tipo, por lo que la segmentación de la red debe implementarse antes de pasar al entorno de producción. Defina cuidadosamente las políticas de entrada y salida para asegurarse de que las conexiones se enruten correctamente.
• Mantenga los privilegios al mínimo y nunca ejecute procesos de aplicaciones como usuario raíz. El uso de un sistema de archivos raíz de solo lectura evita cualquier ataque que dependa de la instalación de software o la modificación del sistema de archivos.
• Integre mecanismos de seguridad, como el análisis de imágenes, en el flujo de integración y distribución continuas (CI/CD). Y, lo que es aún mejor, lleve a cabo las pruebas de seguridad de referencia del Centro para la Seguridad en Internet (CIS).
• Proteja el propio clúster. Configure controles RBAC para limitar el acceso al servidor de API y garantizar que todas las comunicaciones etcd estén protegidas con cifrado TLS. Del mismo modo, bloquee los permisos del kubelet mediante la configuración de controles RBAC para kubelets.
• Aproveche los controles integrados en Kubernetes, como la configuración del contexto de seguridad para limitar el acceso a los pods.
• La seguridad proactiva debe incluir la supervisión de la actividad de los procesos, las comunicaciones entre los servicios y las comunicaciones externas al clúster.