Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Jonathan Rodriguez Paipa

Lograr un escaneo preciso de vulnerabilidades y cumplimiento para imágenes y contenedores OpenShift

Por: Alex Handy



Crédito: Pexels

Este es un post invitado escrito por Glen Kosaka de NeuVector

NeuVector se asocia con Red Hat para garantizar resultados de escaneo de cumplimiento y vulnerabilidad de imagen precisos y consistentes desde la construcción hasta el envío y la ejecución.


NeuVector siempre ha integrado la seguridad de contenedores en la tubería hasta la producción y recientemente ha mejorado sus capacidades para proteger las implementaciones basadas en Red Hat y OpenShift. Dos anuncios recientes demuestran esto:







  1. Certificación Red Hat Vulnerability Scanner. La nueva certificación reconoce a NeuVector como un socio de seguridad confiable de Red Hat, listo para ofrecer un análisis de vulnerabilidad de contenedores más consistente para imágenes publicadas por Red Hat y paquetes relacionados. NeuVector ayudó a dar forma a la certificación a lo largo de su fase piloto y está listo para brindar soporte inmediato de escaneo de vulnerabilidades a los clientes de Red Hat en el lanzamiento del programa: "Como socio de seguridad certificado de Red Hat, NeuVector permite a las empresas evaluar con precisión los riesgos de vulnerabilidad en los productos y paquetes de Red Hat "

  2. Implementación del borrador de OpenShift 'Inspired by CIS' Benchmarks. NeuVector ha lanzado la implementación beta de los puntos de referencia desarrollados por el equipo de OpenShift que se han enviado a la organización CIS.org para su adopción oficial. Al permitir que los clientes de OpenShift accedan y ejecuten estas importantes comprobaciones de configuración y seguridad, NeuVector proporciona una visibilidad temprana de la auditoría de cumplimiento para las implementaciones de OpenShift.


Estos se suman a otras funciones de seguridad mejoradas de Red Hat y OpenShift en NeuVector, como:

  • Soporte para escaneo bajo demanda de ImageStreams para registros OpenShift

  • Integración con OpenShift Admission Controller para evitar implementaciones de imágenes vulnerables y no autorizadas en producción

  • Integración con OpenShift RBAC para habilitar a los usuarios de OpenShift con controles de acceso similares en NeuVector

  • Operador NeuVector certificado en Red Hat Marketplace

  • Compatibilidad con el CRI-O en tiempo de ejecución predeterminado de OpenShift

  • Compatibilidad con definiciones de recursos personalizadas en OpenShift para definir la política de seguridad como código para las protecciones en tiempo de ejecución de NeuVector, incluidas las reglas de acceso a archivos, procesos y firewall de red.

Juntas, estas capacidades nuevas y existentes permiten que la plataforma de seguridad de contenedores NeuVector proporcione:

  • Gestión integral de vulnerabilidades y cumplimiento

  • Automatización de la seguridad en proceso y en producción.

  • Protección contra ataques de día cero, vulnerabilidades, malware y otras amenazas de red a través de una solución de seguridad en tiempo de ejecución impulsada por un firewall de contenedor Layer7.


Comienza con un escaneo preciso de vulnerabilidades


La certificación Red Hat Vulnerability Scanner aporta estandarización a los informes de riesgo de vulnerabilidad para los clientes. Las empresas han enfrentado una incertidumbre desafiante en esta área a medida que amplían las iniciativas nativas de la nube; Los informes de seguridad basados ​​en distintas fuentes de datos pueden dar lugar a evaluaciones de riesgo de vulnerabilidad poco fiables e incoherentes. Con el lanzamiento de esta oferta de certificación de socios, los clientes de Red Hat que utilizan las soluciones de seguridad de socios certificados como NeuVector ahora pueden acceder a informes de riesgo de vulnerabilidad que son precisos y estandarizados con los datos de seguridad publicados por Red Hat.


Para verificar las vulnerabilidades de productos y paquetes con estandarización, NeuVector consume la fuente de datos de seguridad Red Hat OVAL v2 disponible públicamente . Esta fuente transmite datos sobre vulnerabilidades y exposiciones comunes (CVE) e incluye actualizaciones frecuentes para incorporar comentarios de clientes y socios. NeuVector ingiere esta fuente de datos dentro de su propia plataforma para optimizar la integridad y precisión de las evaluaciones. NeuVector también puede mostrar la clasificación de gravedad de Red Hat de CVE específicos y proporcionar información de seguridad de contenedores de misión crítica para abordar vulnerabilidades parcheadas y no parcheadas.


En la captura de pantalla a continuación, las vulnerabilidades descubiertas que Red Hat corrigió se muestran como sus identificadores RHSA para indicar que se trata de vulnerabilidades reparables en la imagen escaneada:




Las vulnerabilidades para las que no hay una solución disponible se muestran con sus identificadores de números CVE tradicionales, como se muestra a continuación:




"Como socio certificado de Red Hat Vulnerability Scanner, podemos ofrecer a las organizaciones una visibilidad valiosa de las vulnerabilidades de Red Hat parcheadas y no parcheadas, y hacerlo con la misma precisión y transparencia disponibles en Red Hat", dijo Gary Duan, Jefe de Tecnología Oficial en NeuVector. "Esperamos asegurarnos de que nuestros clientes que utilizan productos Red Hat tengan las capacidades más completas disponibles en la actualidad cuando se trata de reconocer y mitigar los problemas de seguridad que amenazan sus entornos nativos de la nube".


Además de consumir la fuente de datos de seguridad OVAL v2, NeuVector admite otras fuentes de datos CVE y monitorea regularmente aplicaciones y lenguajes (como java, nodejs, python, ruby) en busca de vulnerabilidades.


Agregar cumplimiento y componentes a los análisis


Además de escanear en busca de vulnerabilidades, NeuVector escanea imágenes en busca de violaciones de cumplimiento e informa la lista de componentes descubiertos en la imagen. Esto es útil para identificar violaciones de cumplimiento para las diversas pruebas de referencia de CIS, así como para descubrir prácticas de riesgo en imágenes, como secretos incrustados y permisos de acceso a archivos abiertos:





El inventario del módulo y el riesgo de vulnerabilidad por módulo se muestra a continuación:



Combinando todo: seguridad desde el oleoducto hasta la producción


Al incorporar seguridad en la canalización y escanear imágenes durante la compilación y en los registros, se puede evitar que las imágenes vulnerables o no compatibles se implementen en producción. La captura de pantalla a continuación muestra las reglas de control de admisión que se pueden crear para bloquear implementaciones en función de los resultados del análisis:



Una vez en producción, se ejecutan análisis continuos de vulnerabilidades y evaluaciones comparativas CIS, incluidas las evaluaciones comparativas preliminares de OpenShift, como se muestra a continuación, indicado por OpenShift-4.5-Beta:




Como protección de seguridad final y más importante, las cargas de trabajo de contenedores en ejecución se inspeccionan en tiempo real para determinar si se están produciendo ataques a la red, violaciones de segmentación , violaciones de DLP o procesos / actividad de archivos sospechosos. Estos se pueden bloquear en tiempo real antes de que el ataque pueda penetrar o expandirse a través de la infraestructura:



La protección de imágenes, contenedores, cargas de trabajo y orquestadores (como OpenShift) requiere una seguridad de extremo a extremo que se puede integrar en puntos clave del proceso. La integración es fundamental para poder automatizar las configuraciones de seguridad y mantenerlas actualizadas a medida que nuevas aplicaciones ingresan al proceso y pasan a producción.


Fuente: Blog de OpenShift

6 vistas0 comentarios