¿Qué es la seguridad de los contenedores?
La seguridad de los contenedores es el proceso de utilizar herramientas y políticas de seguridad para proteger todos los aspectos de las aplicaciones contenedorizadas frente a posibles riesgos. La seguridad de los contenedores gestiona los riesgos en todo el entorno, incluidos todos los aspectos de la cadena de suministro de software o el flujo de integración y distribución continuas (CI/CD), la infraestructura, la ejecución de los contenedores y las aplicaciones de gestión del ciclo de vida que se ejecutan en los contenedores. Al implementar soluciones de seguridad de la red de contenedores, asegúrese de que están integradas con la coordinación de contenedores subyacente para garantizar el reconocimiento del contexto de la aplicación.

Novedades para proteger mejor las aplicaciones modernas
¿Qué importancia tiene la seguridad de los contenedores?
Aunque los contenedores ofrecen algunas ventajas de seguridad inherentes, como un mayor aislamiento de las aplicaciones, también amplían el panorama de amenazas de una organización. No identificar ni planificar medidas de seguridad específicas relacionadas con los contenedores podría incrementar los riesgos de seguridad para las organizaciones.
El aumento significativo de la adopción de contenedores en los entornos de producción hace que los contenedores sean un objetivo más atractivo para los ciberdelincuentes. Además, un solo contenedor vulnerable o comprometido podría convertirse en un punto de acceso al resto del entorno de una organización. Si sumamos el aumento del tráfico este-oeste que pasa por el centro de datos y la nube, hay pocos controles de seguridad que supervisen esta fuente predominante de tráfico de red. Todo esto subraya la importancia de la seguridad de los contenedores, ya que las soluciones de seguridad de la red tradicionales no ofrecen protección contra ataques laterales.
¿Cuáles son las ventajas de la seguridad de los contenedores?
La seguridad de los contenedores ha cobrado protagonismo con el aumento del uso general de los contenedores. Esto es ya beneficioso, pues varias partes interesadas reconocen la importancia de la seguridad de los contenedores de aplicaciones y, por este motivo, invierten en plataformas, procesos y formación. Dado que la seguridad de los contenedores se ocupa de todos los aspectos de la protección de una aplicación contenedorizada y su infraestructura, su mayor ventaja es que puede convertirse en un factor catalizador y multiplicador de fuerzas para mejorar la seguridad de TI en general. Al requerir una supervisión continua de la seguridad en los entornos de desarrollo, pruebas y producción (también conocidos como DevSecOps), se puede mejorar la seguridad general, por ejemplo, introduciendo el análisis automatizado en una fase temprana del flujo de CI/CD.
¿Cómo se protege un contenedor?
Obviamente, aunque la seguridad de los contenedores se considera un campo holístico, se centra en los propios contenedores. El Instituto Nacional de Normalización y Tecnología (NIST) ha publicado su guía sobre seguridad de los contenedores de aplicaciones, titulada Application Container Security Guide, que resume varios enfoques fundamentales en este ámbito. A continuación, se exponen las tres consideraciones clave del informe del NIST:
- Usar sistemas operativos hosts específicos para contenedores. El NIST recomienda utilizar sistemas operativos hosts específicos para contenedores, que se crean con pocas funciones, para reducir las superficies de ataque.
- Segmentar los contenedores por finalidad y perfil de riesgo. Aunque las plataformas de contenedores suelen aislar bien los contenedores (entre sí y del sistema operativo subyacente), el NIST señala que se puede lograr una mayor «profundidad de defensa» agrupando los contenedores según su «finalidad, confidencialidad y situación de amenaza», así como ejecutándolos en sistemas operativos hosts independientes. La recomendación anterior sigue el principio general de seguridad de TI de restringir el radio de alcance de un incidente o ataque, de forma que las consecuencias de una vulneración se limiten a un área lo más reducida posible.
- Usar herramientas de gestión de vulnerabilidades y de seguridad específicas para contenedores en tiempo de ejecución. Las herramientas tradicionales de análisis y gestión de vulnerabilidades suelen tener puntos ciegos en lo que respecta a los contenedores, lo que puede generar informes inexactos sobre las imágenes de contenedor, la configuración y elementos similares. Del mismo modo, garantizar la seguridad en tiempo de ejecución es un aspecto clave de las implementaciones y operaciones de contenedores. A menudo, las herramientas tradicionales orientadas al perímetro, como los sistemas de prevención de intrusiones, no se crearon teniendo en cuenta los contenedores y no pueden protegerlos adecuadamente.
El NIST también recomienda utilizar usuarios raíz de confianza basados en hardware, como módulos de plataforma segura (TPM), para obtener otra capa de confianza en la seguridad, así como para crear una cultura y procesos (como DevOps o DevSecOps) adecuados para los contenedores y el desarrollo nativo de nube.
¿Cuáles son los aspectos básicos de la seguridad de los contenedores?
Hay varios pilares importantes en la seguridad de los contenedores:
- Configuración: muchas plataformas de contenedores, coordinación y nube ofrecen funciones y controles de seguridad sólidos. Sin embargo, es necesario configurarlas correctamente y, después, reajustarlas de vez en cuando; rara vez tienen la optimización predefinida. Esta configuración incluye ajustes y refuerzo esenciales en áreas como el acceso y los privilegios, el aislamiento y la red.
- Automatización: debido a la naturaleza extremadamente dinámica y distribuida de la mayoría de las aplicaciones contenedorizadas y su infraestructura subyacente, las necesidades de seguridad (como el análisis de vulnerabilidades y la detección de anomalías) pueden convertirse en tareas prácticamente inabarcables si se realizan manualmente. Esta es la razón por la que la automatización es una característica clave de muchas funciones y herramientas de seguridad de los contenedores, de la misma manera que la coordinación de contenedores ayuda a automatizar gran parte de la sobrecarga operativa que conlleva la ejecución de contenedores según las necesidades.
- Soluciones de seguridad de los contenedores: algunos equipos añadirán nuevas herramientas de seguridad y soporte específicas para entornos contenedorizados a las que ya utilizan. En ocasiones, estas herramientas se centran en diferentes aspectos del ecosistema nativo de nube, como las herramientas de CI, la seguridad de los contenedores en tiempo de ejecución y Kubernetes.
¿Cuáles son los errores habituales que se deben evitar en torno a la seguridad de los contenedores?
Existen varios errores comunes a la hora de proteger los contenedores y los entornos, entre los que se incluyen los siguientes:
- Olvidarse de la seguridad básica. Los contenedores son una tecnología relativamente nueva que requiere algunos enfoques de seguridad más recientes. Pero eso no implica abandonar ciertos fundamentos de seguridad. Por ejemplo, mantener los sistemas con parches y actualizaciones sigue siendo una táctica importante de cara a los sistemas operativos y entornos de ejecución de contenedores.
- No configurar ni reforzar las herramientas y los entornos. Las buenas herramientas de contenedores y coordinación, al igual que muchas plataformas de nube, incluyen importantes funciones de seguridad. Sin embargo, para disfrutar de todas sus ventajas, debe configurarlas para sus entornos concretos, en lugar de ejecutarlas con los ajustes predeterminados. Por ejemplo, conceder a un contenedor solo las funciones o los privilegios que realmente necesita para ejecutarse a fin de minimizar riesgos, como un ataque para la obtención de más privilegios.
- Omitir la supervisión, los registros y las pruebas. Cuando los equipos empiezan a ejecutar contenedores en el entorno de producción, pueden perder visibilidad del estado y los entornos de las aplicaciones si no tienen cuidado. Este es un gran riesgo que algunos equipos no identifican, y es especialmente relevante para los sistemas altamente distribuidos que pueden ejecutarse en múltiples entornos de nube junto con la infraestructura local. Para minimizar las vulnerabilidades desconocidas y otros puntos ciegos, es fundamental garantizar la supervisión, el registro y la realización de pruebas adecuados.
- No proteger todas las fases del flujo de CI/CD. Otra posible deficiencia de una estrategia de seguridad de los contenedores es ignorar otros elementos del flujo de distribución de software. Los equipos más preparados lo evitan con una filosofía de «pruebas anticipadas», lo que significa que debe priorizar la seguridad lo antes posible en la cadena de suministro de software y, después, aplicar las herramientas y las políticas de forma coherente en el resto del proceso.
Productos y soluciones relacionados
VMware Carbon Black Container
Garantice la visibilidad continua, la seguridad de los contenedores y la conformidad.
VMware Tanzu
Conozca nuestra cartera de productos y servicios para modernizar aplicaciones.