Todos sabemos que a segurança dos contentores e dos destacamentos Kubernetes desde a construção até ao tempo de execução requer uma forma eficiente e segura com conhecimentos especializados que abrangem equipas de Desenvolvimento, Segurança e Operações.  O seguinte define as tecnologias-chave necessárias não só para a verificação da vulnerabilidade e conformidade, mas também para a segurança completa dos contentores em tempo de execução:

Inspecção de Pacotes de Rede

Se quiser segurança de contentores em tempo real, precisa de informações e protecções à medida que estas ocorrem. Uma segurança abrangente dos contentores requer visibilidade em tempo real. O Contentor Nexus protege de acordo com os protocolos de nível de aplicação (Camada 7) (não apenas IPtables ou dados de Camada 3/Layer 4), a actividade suspeita pode ser investigada através da captura de sessões de rede e da inspecção directa de pacotes. Podemos ver todo o tráfego da rede na camada 7 utilizando a melhor fonte de verdade: a rede. Esta tecnologia pode bloquear as ligações não autorizadas sem afectar as ligações seguras e autorizadas no contentor de continuar. Esta intercepção e filtragem de rede única não requer um agente, sidecar ou modificação de imagem.

Auto-aprendizagem e escalada

A criação manual de políticas e regras para cada ambiente, aplicação e actualização realizada é simplesmente inviável. A automatização é fundamental para poupar tempo para as equipas de desenvolvimento, segurança e operações, e estas recuperam esse tempo com a capacidade do Nexus Container de gerar automaticamente conjuntos de regras e segurança como código, adaptando-se facilmente a novos e actualizados comportamentos. À medida que novos contentores entram e saem com diferentes endereços IP em diferentes anfitriões, não são necessárias alterações.

Integração de redes e instrumentos de orquestração

Todos sabemos a importância de ter as integrações certas para as suas ferramentas. As integrações em geral podem dificultar a actualização das políticas de segurança e a aplicação precisa das regras. Nexus Container é sensível à rede e integra-se com ferramentas de orquestração populares tais como Kubernetes, Docker EE, Rancher, EKS / ECS, Istio e OpenShift.

Inspecção de contentores 

Um recipiente precisa de ser monitorizado em cada fase do seu ciclo de vida. O scanning de vulnerabilidade na construção, embora crucial, dá-nos simplesmente um vislumbre do que aconteceu no passado. A monitorização de contentores em funcionamento requer mais do que apenas o exame da actividade da rede: também é necessário um scan de vulnerabilidade em tempo de execução, monitorização do sistema de ficheiros, inspecção do processo e capacidades de detecção de escalonamento de privilégios. Isto ajudará a evitar que os seus contentores sejam comprometidos, determinando vulnerabilidades, avaliando o risco de exploração e bloqueando processos suspeitos.

Segurança e auditoria do alojamento e da plataforma

Um edifício é apenas tão forte como a sua fundação; isto também se aplica a contentores e hospedeiros. Através da monitorização dos processos do hospedeiro para determinar se uma violação está prestes a ocorrer, é possível proteger os contentores mesmo antes da ocorrência de um problema. Da mesma forma, o Nexus Container pode monitorizar os contentores Kubernetes, os contentores do sistema Docker e as ligações de rede para potenciais ataques. As configurações de segurança do Host e Docker também podem ser auditadas para determinar se a configuração adequada está em vigor.

O que torna o Nexus Container tão poderoso?

Vai mais fundo do que outras soluções. O Nexus Container tem a capacidade de fornecer conhecimentos e soluções mais profundas do que a digitalização de imagens de contentores em busca de vulnerabilidades e problemas de conformidade e a utilização de controlos de admissão para bloquear a implantação dessas imagens. O que é fornecido em tempo de execução leva o Nexus Container mais longe, fornecendo informação detalhada, precisa e sem paralelo sobre contentores que ainda não vimos em qualquer outra solução. A inspecção comportamental do Nexus Container pode identificar todo o tráfego de rede na camada 7 e cada processo de contentores para criar automaticamente políticas de segurança baseadas no comportamento, aplicar a protecção contra perda de dados, prevenir ataques de malware e de rede de dia zero, túneis, brechas, etc.

Fonte: Sonatype.