El uso de cargas de trabajo en contenedores ha venido para quedarse. Y con ello, un cambio de paradigma en la forma de diseñar los ciclos de desarrollo y los entornos productivos que dan soporte tecnológico al negocio de la inmensa mayoría de empresas.  

En primer lugar, y si nos centramos en el uso de contenedores en los entornos productivos, nos encontramos con una arquitectura subyacente aparentemente similar a la que se venía utilizando tras la aparición de los entornos de virtualización. Sin embargo, existen diferencias que conllevan una distinta aproximación en lo que se refiere a la protección de estos entornos. 

Por un lado, un entorno virtualizado cuenta con un hipervisor que emula el hardware: aparece la posibilidad de lanzar un sistema operativo sobre dicho hipervisor que permite el uso de ciertas aplicaciones necesarias para el negocio, y esto crea un buen aislamiento cuando realmente se está virtualizando todo el hardware.  

Si se compara con un contenedor, este se focaliza en la virtualización del espacio de las aplicaciones: es posible lanzar un contenedor con una funcionalidad específica dotado con las librerías necesarias para ejecutarse correctamente. Esto supone un reto, porque, si bien la experiencia que existe en todo lo referente al malware está más consolidada, la evolución tecnológica que conlleva el uso de contenedores obliga a los expertos en ciberseguridad a mantener un ritmo de investigación y de análisis y diseño sobre cuáles son las potenciales amenazas que se hace impracticable sin las herramientas adecuadas. Un ejemplo de esta carrera en la protección de este tipo de entornos se refleja en una de las vulnerabilidades descubiertas por el equipo de Overwatch de Crowdstrike. Esta vulnerabilidad (cr8escape) permite escapar un contenedor y obtener acceso de root al host: Game Over. 

Por otro lado, nos encontramos con los ciclos de desarrollo asociados con los contenedores. La necesidad del negocio de posicionar las novedades en una ventana cada vez más limitada en el tiempo con el objetivo de obtener cierta ventaja competitiva hace que el desarrollo se oriente hacía la celeridad en el paso a producción frente a la seguridad en el diseño. Esto es algo que afortunadamente está cambiando: cada vez son más los CIOs, CISOs, equipos de desarrollo, DevSecOps, entre otros, los que están dedicando más recursos y poniendo más foco en la integración de la seguridad en el ciclo de desarrollo. El panorama lo requiere. Existen miles de contenedores y hay contenedores para realizar casi cualquier proceso, y existen diferentes registros de los que obtenerlos. Conceptualmente podemos estar en una situación donde dos personas desconocidas puedan estar desarrollando un código en internet que en última instancia pueda estar siendo utilizado en un entorno productivo. Esto obviamente no es seguro por definición. 

Con el escenario descrito, ¿qué medidas preventivas podemos poner en funcionamiento? En primer lugar, controles proactivos para prevenir software potencialmente malicioso, escaneo regular de imágenes y bloqueo de envío de imágenes directamente a producción. Pero, ¿qué ocurre si somos expuestos a una vulnerabilidad reciente sin un parche publicado? Sólo nos queda reducir la superficie de ataque y, para ello, muchas veces hay que recurrir a mecanismos de protección propios de los orquestadores o runtime engines de los contenedores, que no siempre son viables: ¿eliminamos la posibilidad de usar, por ejemplo, la funcionalidad de syscontrol que permite modificar opciones de kernel? Estaríamos desplazándonos entonces al extremo opuesto de lo expuesto previamente, primando ahora la seguridad en detrimento de una funcionalidad que es ampliamente utilizada.  

La seguridad es realmente compleja, porque es paralela a la pendiente de la curva tecnológica. Si no podemos bloquear un uso legítimo para prevenir un uso ilegítimo, necesitamos contar con herramientas que sean capaces de encontrar patrones de comportamiento que puedan ser maliciosos y generen detecciones más allá de los controles proactivos que han de ser también capaces de evitar amenazas, como la ejecución de un software malicioso en la cadena de suministro.  

Como comunidad, realmente necesitamos centrarnos en la defensa en profundidad y contar con una tecnología robusta de monitorización en tiempo de ejecución que posibilite una remediación casi automática, así como con equipos y servicios especializados que nos permitan mantener en funcionamiento todo el entorno de producción a la velocidad que reclama el negocio.