Frédéric Pillet: LACEWORK, del código a la nube
Frédéric Pillet, ingeniero informático de formación, es un apasionado de las nuevas tecnologías y los enfoques innovadores, como DevOps o el modelo «zero trust». Tras su paso por Dynatrace y Splunk, se ha incorporado recientemente a Lacework, atraído por las nuevas perspectivas que su solución abre en materia de seguridad en la nube.
La seguridad en la nube y sus retos
Al contrario de lo que se podría pensar, la seguridad en la nube no es una cuestión que competa exclusivamente al equipo de seguridad.
De hecho, ya desde la introducción, en la que se exponen los retos de la seguridad en la nube, Frédéric marca la pauta trazando una clara línea divisoria entre lo que conocemos de la seguridad y la seguridad de la nube en desarrollo.
En primer lugar, los riesgos varían debido a una superficie de ataque amplia, cambiante y que no siempre es fácil de evaluar a primera vista.
Lo importante es controlar y reducir la exposición dentro de la infraestructura en la nube.
Por otra parte, nos encontramos ante un contexto en el que un equipo de seguridad, a menudo reducido, se enfrenta a multitud de riesgos mientras intenta continuamente determinar en qué aspectos debe centrarse. El objetivo no es acumular un problema tras otro, sino unificar las herramientas y el método.
El objetivo de reducir los costes en un entorno «de alto gasto», al tiempo que se simplifica el día a día de los equipos mediante una consolidación que tiende a reforzar la seguridad y garantizar su continuidad.
Una colaboración que deja claro que la seguridad en la nube es un trabajo en equipo, y que actuar en solitario es un grave error. La seguridad no es un ámbito exclusivo de la nube, por lo que hay que combatirla con las armas adecuadas. La nube aporta un alto grado de automatización y permite adelantar los controles sin ralentizar el trabajo de los desarrolladores (integración de los análisis en los flujos de trabajo).
Por último, la detección, ya que no es posible cubrir todos los riesgos y es inevitable que cualquier empresa sufra algún día un ataque. Ante esta situación, el análisis de comportamiento resulta indispensable en este tipo de entornos.
Cubrir todas las necesidades de seguridad
Desde la fase de desarrollo hasta la puesta en marcha, se ponen de manifiesto varias necesidades:
La seguridad del código, es decir, identificar todos los activos y detectar configuraciones incorrectas, incumplimientos de normas o vulnerabilidades del código durante la fase de integración, es fundamental.
La gestión de vulnerabilidades, cuya misión principal es detectar vulnerabilidades en hosts y contenedores, desde la fase de diseño hasta la ejecución.
La estrategia de seguridad, que mediante la evaluación de riesgos (risk assessment) identificará todos los activos, detectará las configuraciones incorrectas y las infracciones de cumplimiento a través de una supervisión multicloud.
La detección de amenazas, que permite detectar comportamientos maliciosos en tiempo real mediante el análisis continuo de todas las acciones de los usuarios y las entidades en la nube (aprendizaje automático).
Solución LACEWORK
Desde el inicio de la presentación de la solución LACEWORK, comprendemos rápidamente que esta se posiciona como respuesta al reto que supone la gestión de vulnerabilidades, al integrar un enfoque CNAPP ( Cloud Native Application Protection Platform).
El objetivo es aportar claridad en la visibilidad y la gestión de las vulnerabilidades, así como corregir las más riesgosas en las primeras fases de la cadena de producción (enfoque «shift left»).
CNAPP, CWPP y CSPM
La demostración de Frédéric nos presenta un caso práctico en el que se analizan las vulnerabilidades de un proyecto de «Infra as Code» y su carga de trabajo (host, nodo K8s, contenedores), lo que da lugar a la función CWPP (Cloud Workload Protection Platform).
A través de un panel de control que resume los resultados del análisis, se aprecia la claridad con la que se ponen de relieve los puntos débiles (identificación de vulnerabilidades graves, puntuación CVE, gestión del riesgo). Por un lado, la reducción del ruido de vulnerabilidades mediante la correlación de datos en la nube y, por otro, la identificación y la divulgación de los riesgos detectados a través de una combinación de fuentes de datos de vulnerabilidades públicas y comerciales.
Esta combinación se traduce en un texto explicativo y didáctico sobre los criterios detectados, lo que permite responder a las primeras preguntas de gestión: ¿Cuál es la vulnerabilidad? ¿Cómo puedo resolverla?
Además, más allá de la gestión de vulnerabilidades, el panel de control nos permite visualizar alertas relacionadas con el estado de seguridad de nuestro proveedor de servicios en la nube.
La solución permitirá definir un estado deseado en términos de seguridad en la nube a través de una lista de buenas prácticas (depósito S3 no abierto al flujo público, conexión a una cuenta de AWS con un usuario no root...) y examinar los datos de los registros del proveedor de nube para alertar de cualquier comportamiento anómalo.
Hablamos aquí de CSPM ( Cloud Security Posture Management), que ofrece múltiples ventajas, como una mayor visibilidad en la identificación de riesgos de seguridad, una mejora del cumplimiento normativo (RGPD, HIPAA...), una reducción de los riesgos y una mejor colaboración entre los equipos de seguridad y de operaciones gracias a una plataforma centralizada.
IA de Lacework
Por último, como guinda del pastel, LACEWORK ha desarrollado un asistente de IA generativa (GenAI), más conocido como Vulnerability Chatbot Assistant.
Este Chatbot Assistant, que se basa en el poder de la IA generativa, simplificará la comprensión y el tratamiento de las alertas de cumplimiento, favoreciendo así un enfoque proactivo de la gestión de riesgos mediante un simple intercambio de mensajes.
Es bastante impresionante, ¡pero LACEWORK no se queda ahí! Dado que las herramientas de IA generativa solo son eficaces cuando se utilizan datos fiables, Lacework ha creado una arquitectura única (alojada en las propias instalaciones) que le permite gestionar el enorme volumen, la velocidad y la variedad de los datos en la nube para detectar amenazas conocidas y desconocidas.
La combinación de la información generada por el aprendizaje automático de Lacework Polygraph con la tecnología de asistencia LLM ofrece, por lo tanto, a los clientes una ventaja considerable que les permite obtener mejores resultados, más rápidamente.
Cyril Cuvier: NEUVECTOR, proteja sus implementaciones antes y durante su ejecución
Con más de 10 años de experiencia como administrador de sistemas especializado en entornos de producción y como arquitecto de nube, Cyril dio un giro en su carrera para «pasarse al lado oscuro de la fuerza en el sector de los fabricantes», desempeñando funciones de preventa y ventas de VMware en DELL Technologies, y posteriormente como arquitecto de soluciones en Lenovo, antes de incorporarse a SUSE France en un puesto de preventa centrado en temas de DevOps.
NEUVECTOR Solution
Cyril, técnico de profesión y por vocación, deja de lado los retos y las distintas necesidades en materia de seguridad para centrarse principalmente en la presentación de la solución NEUVECTOR y su gran capacidad para proteger los contenedores en tiempo real y a lo largo de todo su ciclo de vida.
Análisis de riesgos y gestión de vulnerabilidades
Al igual que sus competidores, NEUVECTOR permitirá a los usuarios beneficiarse de la gestión del estado de seguridad adoptada por su proveedor de servicios en la nube (CSPM), proporcionando, a través de herramientas robustas, una garantía de conformidad de los contenedores mediante la automatización de auditorías de seguridad y la generación de informes detallados (puntuación de riesgos), lo que facilita el mantenimiento de las normas de conformidad vigentes (PCI, HIPAA, etc.).
Plataforma de protección de cargas de trabajo en la nube
La solución también ofrece un análisis de todo tipo de cargas de trabajo y registros, detectando vulnerabilidades en entornos en la nube y permitiendo priorizar los riesgos críticos para bloquear las vías de ataque.
Fácil integración
Gracias a la experiencia de Rancher (SUSE), NEUVECTOR ofrece una integración perfecta con las herramientas de CI/CD y las soluciones de orquestación de contenedores, lo que permite una automatización fluida de los flujos de trabajo y facilita la implementación y la aplicación de políticas de seguridad a lo largo de todo el ciclo de desarrollo.
Sin embargo, NEUVECTOR destaca y sobresale en el ámbito de la detección y la prevención de intrusiones, y es precisamente sobre este tema que Cyril nos propone una situación hipotética en un contexto cotidiano que todos conocemos bien.
Seguridad de los contenedores en tiempo real
Para situarnos bien en este contexto, Cyril nos propone establecer una analogía entre la protección de los contenedores en tiempo real y la gestión de la seguridad de una discoteca. (¡Una oportunidad para bailar en la pista de baile en el ámbito profesional!).
Al igual que un portero de discoteca, que parte de la premisa de que por la noche no existe ningún riesgo y de que se debe aplicar la confianza cero, resume en tres reglas distintas lo que él denomina «confianza cero automatizada basada en el comportamiento», a saber:
Discover: identifica el comportamiento de las aplicaciones (modo de aprendizaje)
Monitor: alerta ante el primer comportamiento anómalo de una aplicación
Protect: rechaza cualquier comportamiento anómalo de una aplicación
Una vez explicado el contexto, Cyril pasa a una demostración que nos permitirá ver en tiempo real cómo se aplica este principio a la seguridad de los contenedores.
Control de acceso
Al igual que haría el gerente de una discoteca, se comunica con antelación una lista de normas que determinan si se concede o no el permiso de entrada (normas de control). El ejemplo que se nos ofrece de esta configuración es:
No se permite la publicación de imágenes que no hayan sido escaneadas
Escaneo obligatorio del registro de Docker
Regla de control de acceso basada en la puntuación CVE (Common Vulnerability Scoring)
Una vez establecidas las reglas, podremos, al igual que en una discoteca en la que el gerente desea aplicar una norma de admisión específica, ajustar nuestra configuración añadiendo una regla que rechace cualquier CVE con puntuación alta y un número determinado de CVE.
Volviendo a nuestra analogía, ¡nada de baloncesto ni grupos de más de seis personas!
Descubre
Una vez finalizada la sesión informativa, cada «videur» se coloca en su posición y abre bien los ojos para entrar en modo de aprendizaje de comportamientos.
Gracias a un avanzado sistema de detección, la solución escaneará continuamente el tráfico de red y las actividades de los contenedores, además de inspeccionar los procesos dentro de los mismos.
Durante el análisis de comportamientos, esta etapa permite crear las reglas de comportamiento autorizadas para los contenedores. Una vez completado el descubrimiento avanzado y registradas las reglas (ejemplo: no se permite el uso de curl en la URL desde el pod identificado), pasamos a la etapa de monitorización.
Supervisión
En cuanto se detecte un comportamiento que se desvíe de las reglas aprendidas, esta etapa generará un evento de seguridad correspondiente a dicho comportamiento y clasificará esta nueva regla aprendida como «Advertencia».
Ejemplo: una consulta curl a una URL desde el Pod.
¡Nuestro portero detecta un comportamiento sospechoso y está listo para actuar!
Proteger
La noche está en pleno apogeo y nuestro portero está en plena forma, listo para poner en cuarentena cualquier comportamiento inapropiado que se haya detectado.
NEUVECTOR ofrece una estrategia de defensa integral que no solo protege el tráfico de red, sino que también inspecciona y controla los procesos dentro de los contenedores. Es este enfoque multicapa el que garantiza una seguridad completa que permite bloquear comportamientos anómalos.
Ejemplo: el resultado de la ejecución de un comando `curl` desde el pod
Dado que este comportamiento ya se había detectado e identificado como anómalo desde el momento en que apareció, el proceso curl se bloquea y el contenedor que lo aloja se pone en cuarentena para evitar que la vulnerabilidad se propague.
Analizar
NEUVECTOR permite visualizar las conexiones autorizadas o bloqueadas e identificar comportamientos sospechosos a través de una vista detallada del tráfico de red entre tus contenedores, en la que las infracciones se distinguen mediante códigos de colores (Network Map).
También cabe destacar la posibilidad de enumerar todos nuestros activos (espacios de nombres, pods, servicios), crear y gestionar reglas personalizadas para los contenedores, evaluar los riesgos de seguridad asociados a sus imágenes, nodos o contenedores a través de un panel dedicado que muestra las vulnerabilidades, gestionar configuraciones incorrectas y otros aspectos, y, por último, verificar la conformidad de los contenedores con normas específicas como PCI-DSS (la norma de seguridad de la industria de tarjetas de pago) o HIPAA (Protección de la información sanitaria confidencial de los pacientes).
Esta situación nos permite darnos cuenta de que gestionar la seguridad de nuestros contenedores en tiempo real no es tarea fácil y, sobre todo, ¡es una cuestión de segundos!
NEUVECTOR responde precisamente a esta necesidad y destaca de una manera magnífica.
Conclusión: DevOps D-DAY 2023, el reto de la seguridad en la nube
Los años pasan y cada vez se parecen menos en el escenario del Vélodrome. La filosofía y la metodología DevOps han dado paso a sus homólogas FinOps y DevSecOps, del mismo modo que la euforia da paso a la seriedad.
Ya han quedado atrás los tiempos en los que lo nuevo nos parecía exento de problemas y complejidades; ahora es el momento de hacer balance y asegurarnos de que no volvamos a salir mal parados, como algunos han aprendido por las malas.
La aparición de la nube nos ha planteado rápidamente nuevos retos en materia de seguridad y gestión de recursos, lo que ha puesto de manifiesto la necesidad de adaptarnos a las nuevas costumbres que rigen este mundo digital.
Al igual que ocurre con cualquier descubrimiento de nuevas tierras, los trabajos emprendidos requieren nuevas normas y nuevas herramientas para aprovechar al máximo lo que ya sabíamos hacer en nuestro antiguo continente.
El DevOps Day de este año 2023 refleja a la perfección este inicio de cambio, así como la experiencia acumulada tras varios años de explotación de la nube, con una sólida validación de principio (shif left, think automation, CNAPP) y la aparición de nuevas herramientas centralizadas (NEUVECTOR, LACEWORK) que dan respuesta a los retos que plantean la seguridad y la reducción de los costes de la nube.
Sin embargo, esta edición también nos permite constatar una pérdida de impulso en el interés por la filosofía DevOps y su aplicación, lo que no puede sino suponer un freno si la cultura no sigue el ritmo de la tecnología.
