O que é necessário para proteger os contêineres?

A grande parte dos profissionais de DevOps afirma que a tecnologia de conteinerização fornece segurança, mas isso não é um consenso – especialmente empresas de segurança – discordam dessa afirmação. 

A maioria dos profissionais de DevOps que usa contêineres para desenvolver e implantar aplicativos acredita que os contêineres de software fornecem segurança, mas uma empresa, a Aqua Security, tem como argumento, que a conteinerização não é uma tecnologia protetiva. Em seu relatório “Compreendendo a lacuna de segurança da proteção de tempo de execução nativa da nuvem”, quase em unanimidade, os desenvolvedores e especialistas em operações – 90% – disseram que se “sentiriam confortáveis ​​classificando contêineres como um limite de segurança” e quase ¾ acreditam que seu pacote atual de segurança de software podem barrar o código malicioso inserido na cadeia de suprimentos do software.  

A empresa de segurança, entretanto, diz que tal classificação mostra que os profissionais continuam a ter uma má interpretação sobre as etapas necessárias para tornar os aplicativos nativos da nuvem seguros.Ao esclarecer a posição da empresa, Amir Jerbi, diretor de tecnologia e fundador da Aqua Security, ressalta que os contêineres não são uma nova tecnologia de segurança e, no final das contas, nada está isolado.  

 

“O que os contêineres trouxeram para a indústria foi a capacidade de pegar uma aplicação e fazer a aplicação pensar que é a única para enfatizar o isolamento”, diz ele. “Do ponto de vista da segurança, este não é um novo tipo de isolamento ou uma nova primitiva de segurança. Foi uma maneira bastante intuitiva de executar um aplicativo usando primitivas existentes para tornar o gerenciamento de segurança muito mais fácil do que antes.” Os aplicativos nativos da nuvem se tornaram uma forma cada vez mais popular de implantar software, especialmente após o aumento no trabalho home office causado por mandatos de trabalho em casa durante a pandemia.  

As empresas usam a conteinerização de software – o exemplo mais popular é o Docker – para encapsular software para desenvolvimento e implantação em infraestrutura em nuvem. Mesmo diante disso, a maior parte do foco de segurança de tais pipelines DevOps tem sido encontrar vulnerabilidades durante o desenvolvimento, varrer imagens em busca de componentes vulneráveis ​​e criar configurações seguras. Em junho, a Cloud-Native Computing Foundation (CNCF) dobrou essa abordagem, lançando um white paper sobre segurança da cadeia de suprimentos, com o objetivo de estender a confiabilidade em toda a cadeia de suprimentos de software, das ferramentas aos componentes e à distribuição. 

Criar um pipeline confiável é difícil, mas as consequências do fracasso são terríveis, disse Justin Cormack, diretor de tecnologia da Docker, em uma postagem de blog sobre o white paper CNCF.”Cada vez que você usa um software que não escreveu você mesmo, geralmente software de código aberto que usa em seus aplicativos, você está confiando que o software que adicionou é o que você pensava ser e que é confiável e não hostil”. ele disse. “Normalmente, essas duas coisas são verdadeiras, mas quando dão errado, como quando centenas de pessoas instalaram atualizações do SolarWinds que continham código para atacar sua infraestrutura, as consequências são sérias.” Embora a Aqua Security queira estimular a demanda por sua abordagem de segurança nativa da nuvem, o argumento da empresa sobre o difícil processo de proteção da cadeia de suprimentos também está certo.  

E haja vista, que a conteinerização facilite as melhorias de segurança – como segurança como código, isolamento no host e imagens imutáveis ​​- os contêineres implantados sem pensar na segurança ou na cadeia de suprimentos não oferecem garantias de que código malicioso ou vulnerabilidades possam ter se infiltrado. 

Sendo assim, as discussões sobre a segurança da conteinerização continuam e muito provável continuarão por muito tempo, no sentido de que no mesmo modo que a tecnologia evolui, as possíveis formas de “ameaças” e vulnerabilidades, também se aprimoram a passos largos.  

Tenha Aqua Security em seu portfólio, e ofereça a melhor solução para contêiners aos seus clientes. 

 

Referência: https://www.darkreading.com/cloud/what-does-it-take-to-secure-containers-