Kubernetes y los múltiples clústeres: soluciona la visibilidad

Han crecido las preocupaciones de las empresas sobre sus implementaciones de Kubernetes por la falta de visibilidad, debido al uso de múltiples clústeres o, incluso, por tener un MultiCloud. Se requiere más visibilidad y un control de acceso estricto porque la seguridad de la nube está en juego

Los múltiples clústeres de Kubernetes dificultan la visibilidad

La falta de visibilidad puede considerarse un agujero de seguridad en Kubernetes, destacando que la prioridad hasta ahora era ejecutar más y más orquestación de contenedores. No se ha puesto suficiente vigilancia en cómo monitorizar y mantener un inventario actualizado.

Y es que Managed Kubernetes te pone en bandeja la instalación de este servicio a pesar de que no lo controles mucho. A veces, trae consigo un incremento de más y más clústeres: aquí hay que tener cuidado, ¿por qué? 

Cuantos más clústeres, todo se vuelve más difícil:

  • El número de clústeres activos.
  • Dónde se están ejecutando las cargas de trabajo.
  • Configuración de permisos, ¿cómo se configuran?

Todo esto pone en peligro a la seguridad de la nube, especialmente aquellas que tienen que cumplir una normativa específica. 

Cómo mejorar la visibilidad

Ante la pérdida de visibilidad, es natural preguntarse cómo podemos mejorarla. La respuesta está en un enfoque basado en la suscripción de eventos que haga uso de las API de varios proveedores de nube para encontrar y descubrir los clústeres. 

Este enfoque supone suscribirse a eventos para recibir notificaciones de todas las acciones relacionadas con los grupos: creación, eliminación o modificación. Con esos metadatos podemos recibir recomendaciones o alertas para detectar clústeres que no están autorizados, así como los que están en regiones remotas o desconocidas. 

Es muy importante tener un registro detallado de la actividad de un clúster para ver la cronología de las revisiones. 

En resumen, la visibilidad de Kubernetes se puede mejorar estableciendo un sistema de monitorización y control sobre los eventos relacionados con clústeres. Y es que, al final, tener 50 clústeres en 3 nubes distintas con versiones distintas de Kubernetes es poco menos que un caos.

Control de acceso, en el punto de mira

Existe otra preocupación que no tiene nada que ver con la visibilidad, pero sí con Kubernetes. Se trata del control de acceso a las aplicaciones web, el cual suele distinguir una serie de roles que dan más o menos permisos en la plataforma. Es algo parecido a lo que hay en Windows con las cuentas de usuario cuando vamos a iniciar sesión. Los cibercriminales que tienen bagaje en Windows, han utilizado es modus operandi para atacar plataformas como Kubernetes. Por este motivo, hay que configurar el control de acceso basado en roles de una forma muy precisa. 

Se han detectado vulnerabilidades en ataques cibernéticos a Kubernetes estrechamente relacionados con el RBAC y es porque no están bien configurados los roles.

¿Cómo pulir esto para evitar ser vulnerables? Es aconsejable monitorizar las acciones para saber las necesidades: hay que auditar. Dicho en otras palabras, si un empleado ha realizado 5 acciones en el último mes, no necesita acceder a 80 acciones distintas. 

Después de monitorizar y comprobar la coherencia necesidad-acción, hay que limitar los privilegios siempre que se pueda. Otra opción es limitar el acceso a los trabajadores de forma temporal, pero tiene como contrapartida reducir el acceso a los desarrolladores de Kubernetes. Si tienen que mantener el sistema y comprobar el estado de las herramientas… contraviene un poco la lógica. 

Sin embargo, hay una solución que están adoptando muchas empresas: Open Policy Agent (OPA). Se trata de un motor de reglas de acción cuyo fin es fortalecer las políticas de Kubernetes. Aun así, tiene aparejado un posible problema: demasiadas políticas pueden ser un obstáculo. La solución será trabajar en las políticas para depurarlas al máximo. 

Respecto a esto último, hay un informe de The State of Cloud-Native Policy Management, que concluye con que el 32% de las empresas usan OPA para la gestión de políticas en Kubernetes. 

Nosotros llevamos tiempo implementando Kubernetes y Managed Kubernetes como opción para aquellos que se les hace cuesta arriba su implementación. Consulta con nosotros y no te arrepentirás.

La copia de seguridad que necesitas para tus dispositivos, tus proyectos y tus datos
Accede a tus archivos desde cualquier dispositivo y lugar de forma segura
pack
10 GB
Gratis
Consigue tu backup ahora