contenedores
Entre las diversas herramientas de la gama de productos de Kaspersky se encuentra una plataforma específica para proteger entornos en contenedores. Pero en esta ocasión, quiero hablar de Kaspersky Container Security (KCS), no como representante del proveedor, sino como miembro de un equipo que utiliza activamente esta solución en su trabajo diario. Nuestro equipo de seguridad de productos se encarga de establecer procesos de desarrollo seguros en toda la empresa. Participamos en todas las fases del ciclo de vida del desarrollo de software, y nuestra prioridad es ayudar a los equipos de producto a detectar los problemas de seguridad de forma temprana para que puedan cumplir con los plazos de lanzamiento. Para lograrlo, hemos creado varios flujos de trabajo, uno de los cuales se centra específicamente en la seguridad de los contenedores. Ahí es precisamente donde recurrimos a nuestra propia plataforma Kaspersky Container Security.
Las soluciones de seguridad para contenedores suelen considerarse, ante todo, como escáneres de imágenes para el registro de contenedores. Sin embargo, Kaspersky Container Security (KCS) es más bien una plataforma de seguridad integral para entornos de contenedores que gestiona múltiples tareas gracias a su integración de extremo a extremo en el flujo de trabajo de los contenedores. Aunque sin duda incluye un escenario de análisis de imágenes de contenedores —lo cual es innegablemente importante—, nuestra experiencia con KCS ha demostrado que su verdadero valor se hace evidente cuando se integra en varios puntos del flujo de trabajo a la vez:
- Compilaciones periódicas
- Comprobación de artefactos antes de su fecha de lanzamiento o implementación
- Supervisión de los contenedores que ya se están ejecutando en el clúster
El escenario de referencia: cómo analiza imágenes KCS
En esencia, se trata de un proceso estándar. KCS analiza las imágenes en busca de problemas típicos de los contenedores: vulnerabilidades conocidas, malware, secretos codificados y configuraciones incorrectas. Sin embargo, el resultado del análisis no es solo un veredicto único y abstracto. El sistema calcula una calificación de riesgo basada en los resultados, lo que ofrece una visión clara de la postura de seguridad del activo. En la práctica, esto resulta sumamente útil, ya que los equipos no solo ven un mensaje que indica “imagen defectuosa”, sino que obtienen un desglose claro de cuáles son exactamente los factores que generan el riesgo y qué es lo que debe solucionarse en primer lugar.
Pero eso no es todo. KCS resulta eficaz en situaciones en las que no basta con detectar un problema, sino que es necesario vincularlo al ciclo de vida del artefacto. Cuando un equipo administra cientos de compilaciones, los análisis periódicos del registro no son suficientes y casi siempre requieren intervención manual. Es necesario que sepas qué flujo de trabajo ha generado el riesgo, qué políticas se activaron y cuáles son los siguientes pasos. KCS proporciona este vínculo esencial.
Escenario avanzado: integración y entrega continuas (CI/CD)
Una característica menos conocida de KCS es su capacidad para realizar análisis a gran escala dentro de los flujos de trabajo de CI/CD. Para nuestro equipo, esta es la forma más eficaz de utilizar KCS. La lógica es sencilla: se integra el analizador en el flujo de trabajo y los resultados aparecen directamente en los registros de ejecución. Además, se envían a la consola central de la solución, donde se registran en una sección específica de CI/CD que vincula los resultados con el nombre del artefacto, la hora del análisis, el flujo de trabajo y el nivel de gravedad.
En un entorno de CI/CD, puedes analizar imágenes desde archivos tar o directamente desde repositorios Git. De fábrica, es compatible con GitLab, Jenkins, TeamCity y GitHub Actions; en la práctica, KCS se puede integrar en cualquier gestor de flujos de trabajo.
Otro aspecto fundamental del uso de KCS en CI/CD tiene que ver con las políticas de seguridad. Nuestra solución utiliza un modelo en el que las políticas permiten no solo recopilar resultados, sino también controlar el comportamiento del propio flujo de trabajo. Esto resulta muy útil para los lanzamientos en fases. Puedes comenzar en modo de auditoría y, a continuación, pasar gradualmente a compilaciones fallidas cuando se detecten secretos, errores de configuración críticos o vulnerabilidades. Este enfoque gradual suele funcionar mejor que simplemente pulsar un botón para bloquearlo todo de una vez.
Cómo nos ayuda KCS en nuestros flujos de trabajo
Contamos con nuestro propio sistema de análisis de composición, por lo que no consideramos a KCS como la única fuente de información fiable. Por el contrario, constituye una potente capa adicional en nuestros flujos de trabajo, y es precisamente ahí donde encontramos su mayor valor.
Si bien nuestro sistema interno de análisis de composición se encarga del seguimiento de componentes, las dependencias y la evaluación de riesgos a nivel de código, KCS destaca por proteger el perímetro de los contenedores. Se encarga del análisis técnico de imágenes y de la seguridad de CI/CD, al tiempo que recopila informes sobre los artefactos de contenedores. No entra en conflicto con nuestro análisis interno; más bien lo refuerza precisamente en el punto en que los contenedores reciben las cargas de trabajo reales.
Esto nos resulta especialmente útil en dos situaciones. En primer lugar, permite controlar los artefactos en las primeras etapas del desarrollo. En segundo lugar, actúa como filtro durante la aceptación de la versión. Ya no analizamos los riesgos después de la fecha de lanzamiento; los detectamos en el momento exacto en que el equipo aún puede corregir rápidamente un Dockerfile, un Helm Chart o un conjunto de configuraciones sin necesidad de una larga cadena de aprobaciones.
También cabe destacar la forma en que administra la lista de componentes de software (SBOM). Nuestro sistema se basa principalmente en SBOM actualizadas y pertinentes. KCS ofrece modos específicos para el procesamiento de SBOM e incluso puede generar los resultados del análisis en ese mismo formato. En este sentido, KCS se integra a la perfección con nuestros procesos internos, lo que nos permite adaptarlo a nuestros flujos de trabajo existentes, y no al revés.
Por qué KCS es para nosotros mucho más que un simple analizador
Otra de sus potentes funciones es la seguridad de clústeres. En esta etapa, KCS va más allá de ser una simple herramienta de análisis de imágenes. Incluye políticas de tiempo de ejecución para contenedores y nodos, modos de auditoría y bloqueo, y un conjunto de perfiles de seguridad. En la práctica, esto significa que KCS puede utilizarse no solo para detectar vulnerabilidades dentro de una imagen, sino también para supervisar lo que el contenedor está haciendo realmente una vez que está en funcionamiento. Las políticas pueden tener en cuenta la procedencia de las imágenes, las firmas digitales, las restricciones en cuanto a capacidades y volúmenes, e incluso los procesos y las conexiones de red que se ejecutan dentro del contenedor.
Cuando se detecta un problema, tienes la opción de registrar primero los resultados en modo de auditoría, en lugar de bloquear el proceso de inmediato. En entornos de producción, esta es siempre la opción más inteligente. Otra herramienta fundamental es garantizar la procedencia fiable de las imágenes. KCS admite la verificación de firmas digitales, lo que permite pasar de limitarse a detectar vulnerabilidades (CVE) a garantizar la seguridad de toda la cadena de suministro de software de la empresa.
Funciones de generación de informes
KCS no solo muestra los problemas que detecta, sino que también constituye una fuente de informes integral. Puede generar informes sobre imágenes, riesgos aceptados y puntos de referencia de Kubernetes.
Los informes generados están disponibles en formatos HTML, PDF, CSV, JSON y XML, con compatibilidad específica con SARIF para la generación de informes detallados, lo cual resulta ideal para su integración en flujos de trabajo de AppSec. En cuanto a las SBOM mencionadas anteriormente, los escenarios de análisis pueden generar artefactos y resultados en formatos CycloneDX y SPDX, lo que facilita su integración en los procesos existentes.
Por qué seguimos utilizando KCS
En pocas palabras, KCS complementa a la perfección nuestros flujos de trabajo, no porque resuelva todos y cada uno de los problemas, sino porque se integra de manera muy eficaz en los entornos de ingeniería.
También valoramos que el equipo de producto tenga en cuenta nuestros comentarios. De hecho, el equipo de KCS incorpora nuestras solicitudes operativas prácticas en su plan de desarrollo. Por ejemplo, la integración profunda de las SBOM y los tipos de informes específicos se incorporaron a KCS como resultado directo de nuestra experiencia práctica.
En resumen, cuando se integra correctamente, Kaspersky Container Security permite cubrir varias áreas a la vez: desde el análisis básico de contenedores hasta la seguridad de CI/CD y de clústeres. Según nuestra experiencia, aporta un valor real dentro de un ecosistema de contenedores en funcionamiento. Puedes obtener más información sobre la solución en la página oficial de KCS.
Consejos