Entre las diversas herramientas de la gama de productos de Kaspersky se encuentra una plataforma espec\u00edfica para proteger entornos en contenedores. Pero en esta ocasi\u00f3n, quiero hablar de Kaspersky Container Security (KCS), no como representante del proveedor, sino como miembro de un equipo que utiliza activamente esta soluci\u00f3n en su trabajo diario. Nuestro equipo de seguridad de productos se encarga de establecer procesos de desarrollo seguros en toda la empresa. Participamos en todas las fases del ciclo de vida del desarrollo de software, y nuestra prioridad es ayudar a los equipos de producto a detectar los problemas de seguridad de forma temprana para que puedan cumplir con los plazos de lanzamiento. Para lograrlo, hemos creado varios flujos de trabajo, uno de los cuales se centra espec\u00edficamente en la seguridad de los contenedores. Ah\u00ed es precisamente donde recurrimos a nuestra propia plataforma Kaspersky Container Security.<\/p>\n
Las soluciones de seguridad para contenedores suelen considerarse, ante todo, como esc\u00e1neres de im\u00e1genes para el registro de contenedores. Sin embargo, Kaspersky Container Security (KCS) es m\u00e1s bien una plataforma de seguridad integral para entornos de contenedores que gestiona m\u00faltiples tareas gracias a su integraci\u00f3n de extremo a extremo en el flujo de trabajo de los contenedores. Aunque sin duda incluye un escenario de an\u00e1lisis de im\u00e1genes de contenedores \u2014lo cual es innegablemente importante\u2014, nuestra experiencia con KCS ha demostrado que su verdadero valor se hace evidente cuando se integra en varios puntos del flujo de trabajo a la vez:<\/p>\n
En esencia, se trata de un proceso est\u00e1ndar. KCS analiza las im\u00e1genes en busca de problemas t\u00edpicos de los contenedores: vulnerabilidades conocidas, malware, secretos codificados y configuraciones incorrectas. Sin embargo, el resultado del an\u00e1lisis no es solo un veredicto \u00fanico y abstracto. El sistema calcula una calificaci\u00f3n de riesgo basada en los resultados, lo que ofrece una visi\u00f3n clara de la postura de seguridad del activo. En la pr\u00e1ctica, esto resulta sumamente \u00fatil, ya que los equipos no solo ven un mensaje que indica \u201cimagen defectuosa\u201d, sino que obtienen un desglose claro de cu\u00e1les son exactamente los factores que generan el riesgo y qu\u00e9 es lo que debe solucionarse en primer lugar.<\/p>\n
Pero eso no es todo. KCS resulta eficaz en situaciones en las que no basta con detectar un problema, sino que es necesario vincularlo al ciclo de vida del artefacto. Cuando un equipo administra cientos de compilaciones, los an\u00e1lisis peri\u00f3dicos del registro no son suficientes y casi siempre requieren intervenci\u00f3n manual. Es necesario que sepas qu\u00e9 flujo de trabajo ha generado el riesgo, qu\u00e9 pol\u00edticas se activaron y cu\u00e1les son los siguientes pasos. KCS proporciona este v\u00ednculo esencial.<\/p>\n
Una caracter\u00edstica menos conocida de KCS es su capacidad para realizar an\u00e1lisis a gran escala dentro de los flujos de trabajo de CI\/CD. Para nuestro equipo, esta es la forma m\u00e1s eficaz de utilizar KCS. La l\u00f3gica es sencilla: se integra el analizador en el flujo de trabajo y los resultados aparecen directamente en los registros de ejecuci\u00f3n. Adem\u00e1s, se env\u00edan a la consola central de la soluci\u00f3n, donde se registran en una secci\u00f3n espec\u00edfica de CI\/CD que vincula los resultados con el nombre del artefacto, la hora del an\u00e1lisis, el flujo de trabajo y el nivel de gravedad.<\/p>\n
En un entorno de CI\/CD, puedes analizar im\u00e1genes desde archivos tar o directamente desde repositorios Git. De f\u00e1brica, es compatible con GitLab, Jenkins, TeamCity y GitHub Actions; en la pr\u00e1ctica, KCS se puede integrar en cualquier gestor de flujos de trabajo.<\/p>\n
Otro aspecto fundamental del uso de KCS en CI\/CD tiene que ver con las pol\u00edticas de seguridad. Nuestra soluci\u00f3n utiliza un modelo en el que las pol\u00edticas permiten no solo recopilar resultados, sino tambi\u00e9n controlar el comportamiento del propio flujo de trabajo. Esto resulta muy \u00fatil para los lanzamientos en fases. Puedes comenzar en modo de auditor\u00eda y, a continuaci\u00f3n, pasar gradualmente a compilaciones fallidas cuando se detecten secretos, errores de configuraci\u00f3n cr\u00edticos o vulnerabilidades. Este enfoque gradual suele funcionar mejor que simplemente pulsar un bot\u00f3n para bloquearlo todo de una vez.<\/p>\n
Contamos con nuestro propio sistema de an\u00e1lisis de composici\u00f3n, por lo que no consideramos a KCS como la \u00fanica fuente de informaci\u00f3n fiable. Por el contrario, constituye una potente capa adicional en nuestros flujos de trabajo, y es precisamente ah\u00ed donde encontramos su mayor valor.<\/p>\n
Si bien nuestro sistema interno de an\u00e1lisis de composici\u00f3n se encarga del seguimiento de componentes, las dependencias y la evaluaci\u00f3n de riesgos a nivel de c\u00f3digo, KCS destaca por proteger el per\u00edmetro de los contenedores. Se encarga del an\u00e1lisis t\u00e9cnico de im\u00e1genes y de la seguridad de CI\/CD, al tiempo que recopila informes sobre los artefactos de contenedores. No entra en conflicto con nuestro an\u00e1lisis interno; m\u00e1s bien lo refuerza precisamente en el punto en que los contenedores reciben las cargas de trabajo reales.<\/p>\n
Esto nos resulta especialmente \u00fatil en dos\u00a0situaciones. En primer lugar, permite controlar los artefactos en las primeras etapas del desarrollo. En segundo lugar, act\u00faa como filtro durante la aceptaci\u00f3n de la versi\u00f3n. Ya no analizamos los riesgos despu\u00e9s de la fecha de lanzamiento; los detectamos en el momento exacto en que el equipo a\u00fan puede corregir r\u00e1pidamente un Dockerfile, un Helm Chart o un conjunto de configuraciones sin necesidad de una larga cadena de aprobaciones.<\/p>\n
Tambi\u00e9n cabe destacar la forma en que administra la lista de componentes de software (SBOM). Nuestro sistema se basa principalmente en SBOM actualizadas y pertinentes. KCS ofrece modos espec\u00edficos para el procesamiento de SBOM e incluso puede generar los resultados del an\u00e1lisis en ese mismo formato. En este sentido, KCS se integra a la perfecci\u00f3n con nuestros procesos internos, lo que nos permite adaptarlo a nuestros flujos de trabajo existentes, y no al rev\u00e9s.<\/p>\n
Otra de sus potentes funciones es la seguridad de cl\u00fasteres. En esta etapa, KCS va m\u00e1s all\u00e1 de ser una simple herramienta de an\u00e1lisis de im\u00e1genes. Incluye pol\u00edticas de tiempo de ejecuci\u00f3n para contenedores y nodos, modos de auditor\u00eda y bloqueo, y un conjunto de perfiles de seguridad. En la pr\u00e1ctica, esto significa que KCS puede utilizarse no solo para detectar vulnerabilidades dentro de una imagen, sino tambi\u00e9n para supervisar lo que el contenedor est\u00e1 haciendo realmente una vez que est\u00e1 en funcionamiento. Las pol\u00edticas pueden tener en cuenta la procedencia de las im\u00e1genes, las firmas digitales, las restricciones en cuanto a capacidades y vol\u00famenes, e incluso los procesos y las conexiones de red que se ejecutan dentro del contenedor.<\/p>\n
Cuando se detecta un problema, tienes la opci\u00f3n de registrar primero los resultados en modo de auditor\u00eda, en lugar de bloquear el proceso de inmediato. En entornos de producci\u00f3n, esta es siempre la opci\u00f3n m\u00e1s inteligente. Otra herramienta fundamental es garantizar la procedencia fiable de las im\u00e1genes. KCS admite la verificaci\u00f3n de firmas digitales, lo que permite pasar de limitarse a detectar vulnerabilidades (CVE) a garantizar la seguridad de toda la cadena de suministro de software de la empresa.<\/p>\n
KCS no solo muestra los problemas que detecta, sino que tambi\u00e9n constituye una fuente de informes integral. Puede generar informes sobre im\u00e1genes, riesgos aceptados y puntos de referencia de Kubernetes.<\/p>\n
Los informes generados est\u00e1n disponibles en formatos HTML, PDF, CSV, JSON y XML, con compatibilidad espec\u00edfica con SARIF para la generaci\u00f3n de informes detallados, lo cual resulta ideal para su integraci\u00f3n en flujos de trabajo de AppSec. En cuanto a las SBOM mencionadas anteriormente, los escenarios de an\u00e1lisis pueden generar artefactos y resultados en formatos CycloneDX y SPDX, lo que facilita su integraci\u00f3n en los procesos existentes.<\/p>\n
En pocas palabras, KCS complementa a la perfecci\u00f3n nuestros flujos de trabajo, no porque resuelva todos y cada uno de los problemas, sino porque se integra de manera muy eficaz en los entornos de ingenier\u00eda.<\/p>\n
Tambi\u00e9n valoramos que el equipo de producto tenga en cuenta nuestros comentarios. De hecho, el equipo de KCS incorpora nuestras solicitudes operativas pr\u00e1cticas en su plan de desarrollo. Por ejemplo, la integraci\u00f3n profunda de las SBOM y los tipos de informes espec\u00edficos se incorporaron a KCS como resultado directo de nuestra experiencia pr\u00e1ctica.<\/p>\n
En resumen, cuando se integra correctamente, Kaspersky Container Security permite cubrir varias \u00e1reas a la vez: desde el an\u00e1lisis b\u00e1sico de contenedores hasta la seguridad de CI\/CD y de cl\u00fasteres. Seg\u00fan nuestra experiencia, aporta un valor real dentro de un ecosistema de contenedores en funcionamiento. Puedes obtener m\u00e1s informaci\u00f3n sobre la soluci\u00f3n en la p\u00e1gina oficial de KCS<\/a>.<\/p>\n\n","protected":false},"excerpt":{"rendered":" C\u00f3mo utilizamos Kaspersky Container Security en Kaspersky y por qu\u00e9, para nosotros, es mucho m\u00e1s que un simple analizador de im\u00e1genes.<\/p>\n","protected":false},"author":2795,"featured_media":32126,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2202,2754,2755],"tags":[3138],"class_list":{"0":"post-32125","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-contenedores"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/container-security-not-only-a-scanner\/32125\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/container-security-not-only-a-scanner\/30719\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/container-security-not-only-a-scanner\/25770\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/container-security-not-only-a-scanner\/30568\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/container-security-not-only-a-scanner\/41860\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/container-security-not-only-a-scanner\/55771\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/container-security-not-only-a-scanner\/25002\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/container-security-not-only-a-scanner\/33503\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/container-security-not-only-a-scanner\/30657\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/container-security-not-only-a-scanner\/36227\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/container-security-not-only-a-scanner\/36120\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/contenedores\/","name":"contenedores"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/32125","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2795"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=32125"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/32125\/revisions"}],"predecessor-version":[{"id":32127,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/32125\/revisions\/32127"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/32126"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=32125"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=32125"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=32125"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}