A estas alturas, probablemente haya oído hablar de la seguridad de confianza cero. La confianza cero es más que la última palabra de moda en marketing tecnológico; es un enfoque práctico para proteger los entornos de contenedores. Este modelo surgió cuando el perímetro de aplicaciones/servicios comenzó a desaparecer a medida que evolucionamos de dispositivos físicos a máquinas virtuales, microservicios y, finalmente, cargas de trabajo distribuidas en la nube y en el perímetro. Esta evolución ha forzado mejoras en el modelo de seguridad, desde un modelo reactivo que usa listas de denegación y firewalls para proteger el perímetro conocido hasta modelos proactivos de confianza cero. Con confianza cero, estamos minimizando la superficie de ataque mediante el uso de una lista "permitida" que bloquea las conexiones y los procesos de red no aprobados, para que los equipos puedan detener los ataques antes de que comiencen y detener las amenazas de día cero mediante sus actividades de comportamiento sospechoso. 

La naturaleza dinámica de los microservicios, con recursos compartidos, direcciones IP dinámicas y contenedores que se activan y desactivan rápidamente, exige seguridad automatizada en tiempo real. Los modelos de confianza cero son un enfoque lógico y práctico para que las empresas aseguren las cargas de trabajo de los contenedores, y algo en lo que hemos estado trabajando en NeuVector como proveedor de seguridad nativa en la nube de próxima generación. Antes de la adquisición de SUSE, el equipo de NeuVector se centró en proporcionar capacidades de seguridad de nivel empresarial para cargas de trabajo y datos en contenedores.  

Presentamos SUSE NeuVector 5.0

Esta versión amplía los controles de confianza cero críticos y prácticos de NeuVector con funciones de seguridad innovadoras como la desviación cero, que agrega otra capa de protección inteligente al detectar procesos autorizados y actividades de archivos y detener procesos no autorizados o ejecutables maliciosos. Otras mejoras en nuestros controles de carga de trabajo de confianza cero incluyen firewall de aplicaciones web (WAF) y protecciones de prevención de pérdida de datos (DLP), migración de modo de protección automatizada y soporte mejorado para política de seguridad como automatización de código. Otras grandes mejoras, como el cambio automático del modo de protección, harán que el aprendizaje del comportamiento para la protección sea completamente automático. Por fin, nuestra integración con SUSE Rancher Kubernetes brinda a los clientes un camino sencillo para administrar la seguridad directamente a través de nuestra plataforma de administración de contenedores. (Lea más sobre las características en Entrada de blog SUSE NeuVector 5.0 de Glen Kosaka).  

Abrazando el código abierto 

Otro hito significativo en SUSE NeuVector 5.0 es que es la primera versión de código abierto de nuestra plataforma de seguridad nativa en la nube de nivel empresarial. Ahora parte de SUSE, NeuVector ha adoptado el compromiso de SUSE con el código abierto. El código abierto de NeuVector promueve nuestro compromiso de proporcionar capacidades de seguridad de nivel empresarial para cargas de trabajo y datos en contenedores. Kubernetes, la plataforma de orquestación de contenedores predeterminada de la industria, está impulsada por su activa comunidad de código abierto.  

Además, se esta ampliando el compromiso con el código abierto contribuyendo con el proyecto Open Zero Trust (OZT) a Cloud Native Computing Foundation (CNCF). Open Zero Trust es el proyecto upstream de SUSE NeuVector. Incluye todas las tecnologías y funciones principales que están siendo validadas y utilizadas por nuestros clientes en todo el mundo. Trabajaremos activamente con CNCF y nuestra comunidad para hacer crecer el proyecto y mejorar la seguridad del ecosistema de Kubernetes. 

La base sólida de NeuVector 

Las plataformas de seguridad nativas de la nube tienen algunos requisitos fundamentales. Los encontrará todos en SUSE NeuVector 5.0. 

La seguridad debe ser profunda y poder bloquear en tiempo de ejecución. La gestión de vulnerabilidades, el endurecimiento de la postura, la verificación del cumplimiento, la supervisión de eventos y el análisis posterior son buenas prácticas inherentes a SUSE NeuVector. Para las aplicaciones de producción, la seguridad debe poder bloquear actividades maliciosas en tiempo real y en primer lugar. La red, como la superficie de ataque más común, debe protegerse con la tecnología adecuada para que los piratas informáticos no puedan mirar y luego atacar con vulnerabilidades y exposiciones comunes (CVE) sin parches o de día cero o incluso ataques de denegación de servicio distribuido (DDoS) .   

La seguridad debe poder evitar que los módulos o contenedores defectuosos entren en la tubería.   Por ejemplo, los módulos Log4J sin parches deben etiquetarse desde la cadena de suministro. Con SUSE NeuVector 5.0, los nuevos sensores WAF y DLP avanzados se pueden usar para personalizar y bloquear cualquier carga de red sospechosa con conocimiento del contexto de la aplicación. Por ejemplo, puede aplicar rápidamente una política WAF de Log4j para que todos los clústeres en ejecución estén protegidos contra este tipo de ataque en segundos. 

Las plataformas de seguridad deben ser fáciles de usar y simples de administrar. Como solución puramente nativa de contenedores, SUSE NeuVector se puede implementar, administrar y actualizar a través de cualquier plataforma de administración de contenedores, incluidas Rancher, OpenShift, Amazon EKS, IBM IKS, Microsoft AKS, Google GKE o Vanilla Kubernetes. Tanto si se encuentra en un entorno de nube única, nube privada o multinube, SUSE NeuVector puede gestionar la seguridad de todos sus clústeres a la vez. Con la integración de Rancher en 5.0, las capacidades de inicio de sesión único lo hacen aún más fácil. 

Por último, la seguridad debe escalar a medida que crece el servicio , y la automatización es la mejor forma de administrarla. La seguridad como código no es solo para las configuraciones, sino que también debe aplicarse a las políticas de confianza cero en tiempo de ejecución, como las políticas WAF y DLP.  

¿Qué sigue para SUSE NeuVector?  

La seguridad de confianza cero es una realidad para los entornos nativos de la nube. SUSE continuará desarrollando controles de confianza cero en NeuVector y ayudará a los clientes a migrar a un modelo de seguridad proactivo.    

El futuro traerá una mayor integración central con SUSE Rancher, así como con otras plataformas.  

Estamos comprometidos a ser abiertos: aprender, compartir y contribuir a las comunidades de código abierto para hacer de la nube (y más allá) un lugar más seguro para trabajar juntos. 

Para obtener más información sobre un proceso de migración fluido y sencillo, vea nuestro seminario web Zero Trust Security para Kubernetes y Container Workloads.