![Arm empurra IA para os menores dispositivos IoT com chip Cortex-M52](https://optimuscloud.com.br/wp-content/uploads/2024/01/1706063504_Arm-empurra-IA-para-os-menores-dispositivos-IoT-com-chip-150x150.jpg)
Arm empurra IA para os menores dispositivos IoT com chip Cortex-M52
23 de janeiro de 2024![Análise anual: 2023 foi um ponto de viragem para microsserviços](https://optimuscloud.com.br/wp-content/uploads/2024/01/1706065326_Analise-anual-2023-foi-um-ponto-de-viragem-para-microsservicos-150x150.png)
Análise anual: 2023 foi um ponto de viragem para microsserviços
24 de janeiro de 2024Embora os contentores já não sejam considerados inteiramente novos, algumas empresas estão a utilizá-los pela primeira vez. Infelizmente, em contêineres, a segurança básica prevista em redes tradicionais ou sistemas em nuvem às vezes é desconsiderada. Quer os contêineres sejam novos para o seu negócio ou você esteja apenas começando a lidar com as complexidades de protegê-los, aqui estão algumas dicas para iniciar ou desenvolver sua jornada de segurança de contêineres.
O ciclo de vida da segurança do contêiner
A conteinerização abrange uma ampla gama de aplicações e arquiteturas de rede, mas o termo abrangente usado para descrevê-las pode obscurecer os desafios de mantê-las em escala. Vamos examinar os sistemas de segurança de contêineres durante todo o ciclo de vida do contêiner para determinar sua robustez para implantação.
- Iniciação refere-se aos elementos de back-end do software de segurança de contêineres e é frequentemente chamado de “metatarefas”. Esta região crítica sustenta o resto das fases de concepção, implementação e operação do ciclo de vida do contentor, estabelecendo as bases para a abordagem organizacional.
- Design e planejamento: como os ambientes em contêineres dependem em grande parte de partes em contêineres de seus recursos de segurança, deixar de projetá-los e planejá-los totalmente pode resultar em consequências indesejadas posteriormente no ciclo de vida do aplicativo. Com tantas peças móveis a serem consideradas, o planejamento e o projeto em empresas conteinerizadas podem ser extremamente complicados e desafiadores para serem aplicados com sucesso.
- Implementação: programas de segurança de software de alto nível implementam medidas básicas de segurança para contêineres, como ferramentas de segurança, padrões de codificação, testes, uso e suporte.
- Operação: Os aspectos operacionais da operação de contêineres, como manter seu ambiente e descartá-los depois de retirados, são igualmente vitais para o modelo de segurança de contêineres da organização, assim como o design e a implementação.
Comparando a segurança de contêineres
Qualquer programa de segurança de contêineres deve levar em consideração a segurança da criação e do conteúdo dos próprios contêineres.
Existem vários critérios para analisar a segurança do contêiner, começando com os elementos fundamentais da segurança do host, depois considerando os elementos de segurança da plataforma e, finalmente, examinando os elementos do próprio contêiner e do orquestrador.
Elementos Fundamentais da Segurança do Host
A segurança da infraestrutura inclui a integridade dos recursos físicos e virtuais que sustentam as operações de contêineres, tanto metafórica quanto literalmente. Os contêineres são executados em hardware físico em algum lugar, portanto, a segurança do ambiente de hospedagem afeta a segurança do ambiente em contêineres.
Embora muitas implantações sejam feitas de maneiras diferentes, a segurança e os controles do sistema operacional de hospedagem são vitais pelos mesmos motivos que a segurança da infraestrutura: se o sistema operacional for comprometido, as cargas de trabalho que nele operam não poderão ser protegidas. A segurança das arquiteturas em contêineres depende das melhores práticas, incluindo forte gerenciamento de identidade e acesso, controles de segurança do sistema operacional e implantações seguras sob um modelo de compromisso assumido.
Segurança da plataforma
Compreender os controles de segurança da plataforma, e não apenas a infraestrutura ou os aplicativos, é crucial para proteger uma plataforma de contêineres. Testes de penetração, configuração e avaliação de design dos containers de uma organização visam defender orquestradores e plataformas de containers.
A plataforma na qual os aplicativos ou serviços são implantados afeta diretamente a sua segurança e pode confundir as equipes de segurança — quem são responsáveis por uma camada e como podem defendê-la? O tempo de execução, que isola e executa contêineres, também deve ser verificado para verificar se os controles estão implementados de maneira adequada e eficaz. Finalmente, são necessárias interfaces de gestão robustas. Como atalhos para um ambiente, os invasores irão abordá-los como tal e são um aspecto fundamental do modelo de ameaça.
Segurança do orquestrador e dos contêineres
A segurança da conteinerização da sua organização deve incluir estes princípios:
- Segurança de imagem: embora a segurança da imagem seja vital, ela não define o esquema de segurança de um contêiner. No entanto, a falha na verificação da integridade da imagem pode ser a causa de grandes problemas de segurança. As ferramentas, juntamente com políticas centralizadas e responsabilidades definidas para cada elemento, são a chave para uma resposta de segurança robusta e ágil.
- Segurança em tempo de execução: Muitas vezes esquecido, o tempo de execução do contêiner deve ser protegido como os servidores tradicionais em uma rede. A proteção de endpoint de contêiner é incomum e geralmente incorpora agentes secundários, o que complica a situação. Uma estratégia de segurança de contêineres de defesa profunda requer detecção de ameaças e aspectos comportamentais. Ser capaz de sinalizar e detectar comportamentos potencialmente maliciosos de alteração de estado em contêineres reduz o impacto de problemas de arquitetura, código e configuração.
- Segurança de rede: A segurança de rede local tradicional é robusta e tem muitas ferramentas à sua disposição e décadas de experiência para apoiá-la. Muitos desses princípios não se aplicam a redes conteinerizadas, mas uma rede segura deve incorporar a rede orquestrada ou conteinerizada e como os contêineres ou orquestradores interagem com elementos externos. As malhas de serviço são onipresentes em contêineres, mas devem ser examinadas como qualquer outra rede. Embora as regulamentações e ferramentas de rede neste espaço sejam relativamente incipientes, fornecer uma linha de base permite a instalação posterior de soluções mais maduras com menos esforço e sem comprometer a segurança.
- Resposta e relatórios de incidentes: Os profissionais de segurança costumam dizer que as equipes organizacionais “tradicionais” de resposta a incidentes não têm acesso e competência para detectar e responder a ameaças em sistemas conteinerizados. Algumas empresas concordam, já que os aplicativos migrados para a nuvem tiveram problemas nos últimos anos. Embora não sejam únicos, os recipientes devem ser tratados igualmente. As equipes forenses e de resposta a incidentes devem usar ambientes em contêineres para exercícios de “simulação de incêndio”, uma vez que os contêineres são ideais para a aplicação de técnicas forenses e de IR. Os contêineres são independentes, têm entrada, saída e função pretendidas, e seus limites facilitam a análise do que estão fazendo e o delta entre o que devem fazer.
Como a Synopsys pode ajudar
Implementar um forte programa de segurança de contêineres em sua empresa não é uma tarefa fácil. Um lugar para começar é com nosso white paper: “Amadurecendo a segurança de contêineres em sua organização, um plano da Synopsys”.
Quer você esteja apenas começando a aproveitar contêineres ou já os use há anos, a criação de um programa de segurança de contêineres robusto e seguro requer uma compreensão dos principais recursos que um programa maduro de segurança de contêineres deve ter, bem como quais elementos abrangem contêineres seguros. Este white paper oferece um modelo para ajudá-lo a levar sua organização adiante na jornada de segurança de contêineres.
A postagem Desmistificando a segurança de contêineres para desenvolvedores apareceu pela primeira vez em The New Stack.