Cinco claves para proteger nuestros despliegues en contenedores

En numerosas ocasiones os hemos contado cómo los contenedores se han convertido en una de las tecnologías más populares. En la era cloud y sobre todo multicloud, trabajar con contenedores permite a las empresas consolidar en un único servidor muchos de los servicios y aplicaciones que hasta hace unos años podían encontrarse dispersos en muchos otros, optimizando de una forma más eficiente los recursos disponibles y evitando «interferencias». Tal ha sido el éxito de esta forma de desplegar y gestionar aplicaciones (cada aplicación o incluso servicio de aplicación en su propio contenedor) que términos como Docker o Kubernetes se han convertido en temas de obligado estudio en casi cualquier grado tecnológico.

Pero como no podía ser de otra forma, cambiar a una metodología de entrega continua (DevOps) y flexible, también tiene ciertos riesgos que hay que tener en cuenta. Qualys nos explica qué podemos hacer para evitarlos.

Búsqueda de contenedores

En primer lugar, vale la pena validar en qué partes de la organización se usan contenedores. Puede parecer sencillo, pero es fácil para los equipos de desarrolladores construir y ejecutar sus propias aplicaciones en la nube sin involucrar a otros equipos de TI desde el principio. También vale la pena averiguar cuántas implementaciones se utilizan en toda la organización y para qué fines.

Proceso de desarrollo

Si se encuentran contenedores, es importante averiguar qué parte del proceso de desarrollo de software se basa en este enfoque. Normalmente, el trabajo realizado en el desarrollo tenderá a extenderse a lo largo de toda la empresa, por lo que si los proyectos iniciales se desarrollan en contenedores, las pruebas, los tests de calidad y las instancias de producción se trasladarán también a los contenedores con el paso del tiempo. Esto puede conducir a múltiples plataformas e instancias que se ejecutan en paralelo.

Visibilidad

Para gestionar esto es necesario definir el nivel actual de visibilidad en todos los activos de TI. Esto ayudará a comparar los puntos de los que actualmente se tiene un buen conocimiento y aquellos de los que se necesitan datos adicionales. También ayudará a demostrar cómo ha mejorado la visibilidad de toda la TI a lo largo del tiempo.

Agentes integrados

Si se ha encontrado alguna laguna, será necesario ver qué tipo de información es la que falta. En el caso de los contenedores, la obtención de datos sobre las imágenes que se despliegan puede ser difícil si no se ha pensado en el futuro.

Por ejemplo, si se encuentran contenedores desplegados en un servicio cloud, ¿cómo saber cuántas imágenes se están ejecutando a la vez? Para obtener estos datos se requiere que los agentes estén integrados en cualquier contenedor estándar. Al incluir estos sensores en todas y cada una de las imágenes del contenedor, cada contenedor puede reportar automáticamente los datos de estado.

Esto puede ayudar a saber qué número de imágenes están desplegadas, qué paquetes de software están incluidos en el entorno de tiempo de ejecución y si esos paquetes están actualizados.

Continuidad

Cada una de estas etapas debe llevarse a cabo de forma continua. Dado que los contenedores pueden crearse y eliminarse automáticamente en respuesta a la demanda, la evaluación y protección continuas de las aplicaciones contenedorizadas deben implementarse a lo largo de todo el ciclo de vida de dichas aplicaciones.

Es necesario abarcar la evaluación y el cumplimiento de todas las partes móviles que intervienen en la gestión de los contenedores, lo que incluye, por tanto, la pila de la infraestructura de contenedores y el ciclo de vida de la aplicación de los contenedores a lo largo del tiempo. Estas dos áreas (pila y ciclo de vida) tienen que estar completamente alineadas.