Líder en el Cuadrante Mágico de Gartner® de 2025 para plataformas de protección de Endpoints. Cinco añLíder en el Cuadrante Mágico™ de GartnerLeer el informe
¿Sufre una brecha de seguridad?Blog
ComenzarContacto
Header Navigation - ES
  • Plataforma
    Resumen de la plataforma
    • Singularity Platform
      Bienvenido a la Seguridad Empresarial Integrada
    • Cómo funciona
      La Diferencia de Singularity XDR
    • Marketplace de Singularity
      Integraciones con un solo clic para liberar la potencia de XDR
    • Precios y Paquetes
      Comparaciones y orientaciones de un vistazo
    Data & AI
    • Purple AI
      Acelerar las operaciones de seguridad con IA generativa
    • Singularity Hyperautomation
      Automatice fácilmente los procesos de seguridad
    • AI-SIEM
      AI SIEM para el SOC autónomo
    • Singularity Data Lake
      Potenciada por la IA, unificada por el lago de datos
    • Singularity Data Lake for Log Analytics
      Ingesta de datos sin fisuras desde entornos locales, en la nube o híbridos
    Endpoint Security
    • Singularity Endpoint
      Prevención, detección y respuesta autónomas
    • Singularity XDR
      Protección, detección y respuesta nativas y abiertas
    • Singularity RemoteOps Forensics
      Orquestación forense a escala
    • Singularity || Threat Intelligence
      Información completa sobre el adversario
    • Singularity Vulnerability Management
      Detección de activos no autorizados
    Cloud Security
    • Singularity Cloud Security
      Bloquee los ataques con un CNAPP basado en IA
    • Singularity Cloud || Native Security
      Asegurar la nube y los recursos de desarrollo
    • Singularity Cloud Workload Security
      Plataforma de protección de la carga de trabajo en la nube en tiempo real
    • Singularity || Cloud Data Security
      Detección de amenazas mediante inteligencia artificial
    • Singularity Cloud Security Posture Management
      Detectar y corregir errores de configuración en la nube
    Identity Security
    • Singularity Identity
      Detección de amenazas y respuesta para la identidad
  • ¿Por qué SentinelOne?
    ¿Por qué SentinelOne?
    • ¿Por qué SentinelOne?
      Ciberseguridad pensada para el futuro
    • Nuestros clientes
      La confianza de las principales empresas del mundo
    • Reconocimiento industrial
      Probado y demostrado por los expertos
    • Quiénes somos
      Líder del sector en ciberseguridad autónoma
    Comparar SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trend Micro
    • Trellix
    • Wiz
    Industria
    • Energía
    • Administración Pública
    • Finanzas
    • Sanidad
    • Educación
    • Educación K-12
    • Fabricación
    • Comercio
    • Sector público estatal y local
  • Servicios
    Servicios gestionados
    • Visión General de Servicios Gestionados
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Experiencia de clase mundial e Inteligencia de Amenazas.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      Analyses forensiques, IRR et préparation aux incidents.
    Asistencia y despliegue
    • Gestión técnica de cuentas
      Customer success con servicio personalizado
    • SentinelOne GO
      Asesoramiento guiado sobre incorporación y despliegue
    • SentinelOne University
      Formación en directo y a la carta
    • Panorama de los servicios
      Soluciones integrales para operaciones de seguridad sin interrupciones
    • SentinelOne Community
      Inicio de sesión en la comunidad
  • Partners
    Nuestra red
    • Socios MSSP
      Triunfe más rápido con SentinelOne
    • Marketplace de Singularity
      Extender la potencia de la tecnología S1
    • Socios de ciberriesgo
      Incorporar equipos de respuesta y asesoramiento profesional
    • Alianzas tecnológicas
      Soluciones integradas a escala empresarial
    • SentinelOne para AWS
      Alojado en regiones de AWS en todo el mundo
    • Socios de canal
      Aportar juntos las soluciones adecuadas
    Descripción general del programa →
  • Recursos
    Centro de recursos
    • Datasheets
    • eBooks
    • Videos
    • Libros blancos
    • Events
    Ver todos los recursos→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identity
    • Cloud
    • macOS
    • Blog de SentinelOne
    Blog→
    Recursos tecnológicos
    • SentinelLABS
    • Glosario de ransomware
    • Ciberseguridad 101
  • Quiénes somos
    Acerca SentinelOne
    • Acerca SentinelOne
      El líder de la industria en ciberseguridad
    • SentinelLABS
      Investigación de amenazas para el cazador de amenazas moderno
    • Carreras
      Las últimas oportunidades de trabajo
    • Prensa y noticias
      Anuncios de la empresa
    • Blog de ciberseguridad
      Las últimas amenazas a la ciberseguridad, noticias y más
    • FAQ
      Obtenga respuestas a las preguntas más frecuentes
    • DataSet
      La Plataforma de datos en vivo
    • S Foundation
      Asegurar un futuro más seguro para todos
    • S Ventures
      Invertir en la próxima generación de seguridad y datos
ComenzarContacto
Background image for Los 10 principales problemas de seguridad de Kubernetes
Cybersecurity 101/Seguridad en la nube/Problemas de seguridad de Kubernetes

Los 10 principales problemas de seguridad de Kubernetes

Dado que los clústeres de Kubernetes abarcan múltiples nodos y alojan diversas cargas de trabajo, mantener la seguridad se convierte en una tarea abrumadora. Este artículo explora los problemas de seguridad más comunes de Kubernetes.

CS-101_Cloud.svg
Tabla de contenidos

Entradas relacionadas

  • SSPM frente a CASB: comprender las diferencias
  • Lista de verificación de seguridad de Kubernetes para 2025
  • ¿Qué es la seguridad Shift Left?
  • ¿Qué es la seguridad en la nube sin agentes?
Autor: SentinelOne
Actualizado: September 7, 2025

Kubernetes, la plataforma de orquestación de contenedores de facto, ha transformado la forma en que las organizaciones implementan, escalan y gestionan las aplicaciones en contenedores. Si bien ofrece una enorme potencia y flexibilidad, su complejidad inherente y su naturaleza dinámica plantean varios retos de seguridad. Dado que los clústeres de Kubernetes abarcan múltiples nodos y alojan diversas cargas de trabajo, mantener la seguridad se convierte en una tarea abrumadora.

Este artículo explora los problemas comunes de seguridad de Kubernetes y ofrece estrategias prácticas para abordarlos.

Problemas de seguridad de Kubernetes - Imagen destacada | SentinelOneNecesidad de seguridad en Kubernetes

A medida que las empresas trasladan sus cargas de trabajo a Kubernetes,

Una encuesta realizada en 2023 por la Cloud Native Computing Foundation reveló que el 93 % de los encuestados había experimentado al menos un incidente de seguridad en Kubernetes durante el último año, y el 78 % no confiaba en su postura de seguridad, mientras que otro informe de Aqua Security reveló que un sorprendente 90 % de las organizaciones que ejecutaban Kubernetes en producción se enfrentaron a un incidente de seguridad durante el mismo periodo.

Los recientes incidentes de gran repercusión han puesto de relieve la necesidad crítica de contar con medidas de seguridad robustas para Kubernetes. En 2018, la consola de Kubernetes de Tesla se vio comprometida, lo que provocó la exposición de datos confidenciales y el uso no autorizado de recursos informáticos para la minería de criptomonedas. Más recientemente, en 2021, una vulnerabilidad en el tiempo de ejecución del contenedor (CVE-2021-32760) permitió a los atacantes escapar del aislamiento del contenedor y obtener potencialmente acceso root al sistema host.

Estos incidentes sirven como un claro recordatorio de que la seguridad de Kubernetes no es opcional, sino un requisito fundamental para cualquier organización que ejecute cargas de trabajo en contenedores a gran escala.

Algunas vulnerabilidades notables de Kubernetes que se han descubierto en los últimos años incluyen:

  • CVE-2018-1002105: Un fallo crítico en el servidor API de Kubernetes permitía a usuarios no autorizados escalar privilegios y ejecutar comandos arbitrarios en cualquier pod del clúster.
  • CVE-2019-11246: Una vulnerabilidad en el comando "kubectl cp" que podía permitir a un atacante escribir archivos maliciosos en rutas arbitrarias en la estación de trabajo del usuario.
  • CVE-2020-8554: Una vulnerabilidad de tipo "man-in-the-middle" que afecta a las direcciones IP externas en los servicios LoadBalancer y ExternalIPs.
  • CVE-2021-25741: Un error en el proceso de desinfección de volúmenes que podría permitir a los atacantes acceder a información confidencial de pods previamente terminados.

¿Por qué Kubernetes es inseguro?

La arquitectura multifacética de Kubernetes conlleva inherentemente diversas vulnerabilidades, tales como:

  • Exposición del servidor API: El servidor API, el centro neurálgico del plano de control del clúster, es un objetivo principal.
  • RBAC mal configurado: Una definición inadecuada de roles y permisos puede dar lugar a accesos no autorizados.
  • Políticas de red sin restricciones: La falta de segmentación de la red facilita el movimiento lateral dentro del clúster.
  • Configuraciones predeterminadas de contenedores: Los contenedores que se ejecutan con privilegios de root o con la configuración predeterminada son fácilmente explotables.

Guía de mercados de la CNAPP

Obtenga información clave sobre el estado del mercado de CNAPP en esta guía de mercado de Gartner para plataformas de protección de aplicaciones nativas de la nube.

Guía de lectura

Problemas de seguridad de Kubernetes

El panorama de seguridad de Kubernetes está en constante evolución y surgen nuevas amenazas con regularidad. Sin embargo, los siguientes problemas representan algunos de los retos más críticos y persistentes a los que se enfrentan los administradores y los equipos de seguridad de Kubernetes:

N.º 1. Acceso no autorizado y escalada de privilegios

El acceso no autorizado a los recursos de Kubernetes es uno de los riesgos de seguridad más críticos a los que se enfrentan los clústeres en la actualidad. Los atacantes que obtienen acceso al clúster pueden ejecutar código malicioso, robar datos confidenciales o interrumpir las operaciones.

Cómo abordarlo:

  1. Implemente políticas sólidas de control de acceso basado en roles (RBAC):
    • Defina roles granulares y roles de clúster que se adhieran al principio del mínimo privilegio.
    • Utilice espacios de nombres para segregar las cargas de trabajo y limitar el alcance de los permisos.
    • Audite y revise periódicamente las políticas RBAC para asegurarse de que siguen siendo adecuadas.
  2. Habilite y configure las políticas de seguridad de pods (PSP) o los estándares de seguridad de pods (PSS) de Kubernetes:
    • Aplique restricciones a la creación y ejecución de pods, como impedir contenedores con privilegios o limitar el acceso al espacio de nombres del host.
    • Utilice PSP/PSS para aplicar las mejores prácticas de seguridad en todo el clúster.
    • Implemente mecanismos de autenticación sólidos: Utilice OpenID Connect (OIDC) u otros proveedores de identidad federados para la autenticación de usuarios.
    • Aplique la autenticación multifactor (MFA) para todos los accesos al clúster.
    • Rote los tokens de las cuentas de servicio con regularidad y limite sus permisos.
  3. Proteja el servidor API de Kubernetes:
    • Habilite y configure controladores de admisión del servidor API como PodSecurityPolicy y NodeRestriction.
    • Utilice TLS para todas las comunicaciones del servidor API y valide los certificados de cliente.

#2. Configuración insegura del servidor API

El servidor API de Kubernetes es el principal punto de entrada para gestionar los recursos del clúster. Las configuraciones incorrectas o las vulnerabilidades en el servidor API pueden tener graves consecuencias para la seguridad del clúster.

Cómo solucionarlo:

  1. Proteja los puntos finales del servidor API:
    • Utilice un cifrado TLS fuerte para todas las comunicaciones del servidor API.
    • Implemente una lista blanca de IP para restringir el acceso a redes de confianza.
    • Considere la posibilidad de utilizar un bastión host o una VPN para el acceso remoto al servidor API.
  2. Habilite y configure los controladores de admisión:
    • Utilice el controlador de admisión AlwaysPullImages para garantizar que se utilicen las últimas versiones de las imágenes.
    • Habilite el controlador de admisión NodeRestriction para limitar los permisos de kubelet.
    • Implemente controladores de admisión personalizados para las políticas de seguridad específicas de la organización.
  3. Registro y supervisión de auditorías:
    • Habilite y configure el registro de auditorías de Kubernetes para realizar un seguimiento de todas las solicitudes del servidor API.
    • Utilice herramientas como Falco o Sysdig para detectar y alertar de actividades sospechosas en el servidor API.
  4. Análisis periódico de vulnerabilidades:
    • Realice análisis periódicos de vulnerabilidades del servidor API y los componentes asociados.
    • Manténgase al día con los avisos de seguridad de Kubernetes y aplique los parches rápidamente.

Problemas de seguridad de Kubernetes: imágenes de contenedores vulnerables | SentinelOne#3. Imágenes de contenedores vulnerables

Las imágenes de contenedores constituyen la base de las cargas de trabajo de Kubernetes. El uso de imágenes obsoletas o vulnerables puede suponer un riesgo significativo para la seguridad del clúster.

Cómo solucionarlo:

  1. Implementar el escaneo de imágenes:
    • Utilice herramientas como Trivy, Clair o Anchore para escanear imágenes en busca de vulnerabilidades conocidas.
    • Integre el escaneo de imágenes en su canalización de CI/CD para evitar que se implementen imágenes vulnerables.
  2. Aplique la firma y verificación de imágenes:
    • Implemente un registro de imágenes de confianza y utilice herramientas como Notary para la firma de imágenes.
    • Configure los controladores de admisión para que solo permitan imágenes firmadas de fuentes de confianza.
  3. Minimizar la superficie de ataque de las imágenes:
    • Utilizar imágenes base mínimas como Alpine o distress para reducir la superficie de ataque potencial.
    • Elimine los paquetes y utilidades innecesarios de las imágenes de producción.
  4. Mantenga las imágenes actualizadas:
    • Actualice periódicamente las imágenes base y las dependencias de las aplicaciones.
    • Implemente procesos automatizados para reconstruir y volver a implementar las imágenes cuando haya actualizaciones disponibles.

#4. Configuraciones erróneas de la política de red

La configuración de red predeterminada de Kubernetes permite que todos los pods se comuniquen entre sí, lo que puede provocar movimientos laterales en caso de compromiso.

Cómo solucionarlo:

  1. Implementar políticas de red:
    • Utilizar las políticas de red de Kubernetes para definir y aplicar reglas para la comunicación entre pods.
    • Adopte una postura predeterminada de "denegar todo" y permita explícitamente el tráfico necesario.
  2. Segmentar el tráfico de red:
    • Utilizar espacios de nombres para separar lógicamente las cargas de trabajo y aplicar políticas de red a nivel de espacio de nombres.
    • Implementar la microsegmentación de la red para limitar el alcance de posibles infracciones.
  3. Cifre el tráfico entre pods:
    • Utilice mallas de servicios como Istio o Linkerd para cifrar el tráfico entre pods.
    • Implemente TLS mutuo (mTLS) para todas las comunicaciones internas del clúster.
  4. Supervise el tráfico de red:
    • Utilizar herramientas como Cilium o Calico para obtener una visibilidad avanzada de la red y aplicar políticas.
    • Implementar el registro y análisis del flujo de red para detectar patrones de tráfico anómalos.

#5. Gestión de secretos

La gestión adecuada de la información confidencial, como claves API, contraseñas y certificados, es fundamental para mantener la seguridad de las cargas de trabajo de Kubernetes.

Cómo abordarlo:

  1. Utilice los secretos de Kubernetes:
    • Almacene la información confidencial en Kubernetes Secrets en lugar de codificarla en las especificaciones de los pods o en los mapas de configuración.
    • Cifre los secretos en reposo utilizando proveedores de cifrado como AWS KMS o HashiCorp Vault.
  2. Implemente la gestión de secretos externos:
    • Utilice herramientas como External Secrets Operator o Sealed Secrets para integrarse con sistemas externos de gestión de secretos.
    • Implemente el aprovisionamiento de secretos justo a tiempo para minimizar la exposición de información confidencial.
  3. Rote los secretos con regularidad:
    • Implemente la rotación automatizada de secretos para todas las credenciales confidenciales.
    • Utilice tokens y certificados de corta duración siempre que sea posible para minimizar el impacto de posibles compromisos.
  4. Limite el acceso a los secretos:
    • Utilice RBAC para restringir el acceso a los secretos según la necesidad de conocerlos.
    • Implemente registros de auditoría para todos los accesos y modificaciones de secretos.

#6. Seguridad del almacén de datos etcd

El almacén de claves-valores etcd es el almacén de datos principal para todos los estados de clúster en Kubernetes. Comprometer etcd puede dar a los atacantes el control total sobre el clúster.

Cómo abordarlo:

  1. Cifrar los datos etcd en reposo:
    • Habilitar el cifrado para etcd utilizando el recurso EncryptionConfiguration.
    • Utilizar claves de cifrado seguras y rotarlas periódicamente.
  2. Proteja las comunicaciones de etcd:
    • Utilice TLS para todas las comunicaciones entre pares y clientes de etcd.
    • Implemente la autenticación de certificados de cliente para el acceso a etcd.
  3. Copia de seguridad y recuperación ante desastres:
    • Implementar copias de seguridad periódicas y cifradas de los datos de etcd.
    • Probar y validar los procedimientos de restauración de etcd para garantizar la integridad de los datos.
  4. Restringir el acceso a etcd:
    • Ejecutar etcd en nodos dedicados con acceso restringido.
    • Utilizar políticas de red para limitar los componentes que pueden comunicarse con etcd.

Problemas de seguridad de Kubernetes: seguridad del tiempo de ejecución de contenedores | SentinelOne#7. Riesgos de seguridad del tiempo de ejecución

La seguridad en tiempo de ejecución de contenedores es fundamental para protegerse contra los ataques que aprovechan las vulnerabilidades de los contenedores en ejecución.

Cómo abordarlo:

  1. Implemente la supervisión de la seguridad en tiempo de ejecución:
    • Utilice herramientas como Falco o Sysdig para detectar y alertar sobre comportamientos sospechosos de los contenedores.
    • Implemente una línea de base de comportamiento para identificar actividades anómalas en los contenedores.
  2. Habilite SELinux o AppArmor:
    • Utilice perfiles SELinux o AppArmor para restringir las capacidades de los contenedores y el acceso al sistema de archivos.
    • Implemente perfiles de seguridad personalizados para requisitos específicos de las aplicaciones.
  3. Utilice perfiles seccomp:
    • Implemente perfiles seccomp para restringir las llamadas al sistema disponibles para los contenedores.
    • Comience con un perfil de denegación predeterminado y permita gradualmente las llamadas al sistema necesarias.
  4. Sandboxing de contenedores:
    • Considere el uso de gVisor o Kata Containers para mejorar el aislamiento entre los contenedores y el sistema host.

#8. Lagunas en el registro y la supervisión

El registro y la supervisión exhaustivos son esenciales para detectar y responder a incidentes de seguridad en entornos Kubernetes.

Cómo abordarlo:

  1. Registro centralizado:
    • Implemente una solución de registro centralizada, como ELK stack o Splunk, para agregar los registros de todos los componentes del clúster.
    • Utilice agentes de reenvío de registros como Fluentd o Logstash para recopilar registros de contenedores y nodos.
  2. Implemente una supervisión robusta:
    • Utilice Prometheus y Grafana para supervisar el estado del clúster y las métricas de rendimiento.
    • Implemente reglas de alerta personalizadas para detectar posibles problemas de seguridad.
  3. Gestión de información y eventos de seguridad (SIEM):
    • Integrar los registros y métricas de Kubernetes con una solución SIEM para la detección y correlación avanzadas de amenazas.
    • Implemente guías de respuesta automatizada ante incidentes para eventos de seguridad comunes.
  4. Supervisión continua del cumplimiento normativo:
    • Utilice herramientas como Kube-bench o Kube-hunter para evaluar continuamente el cumplimiento de las mejores prácticas de seguridad por parte del clúster.
    • Implemente la corrección automatizada de errores de configuración comunes.

N.º 9. Ataques a la cadena de suministro

La cadena de suministro de software, incluidas las imágenes de contenedores y las dependencias, puede ser un vector para introducir vulnerabilidades en los entornos de Kubernetes.

Cómo abordarlo:

  1. Implementar una lista de materiales de software (SBOM):
    • Generar y mantener SBOM para todas las imágenes de contenedores y dependencias de aplicaciones.
    • Utilizar herramientas como Syft o Tern para generar automáticamente SBOM durante el proceso de compilación.
  2. Proteger los procesos de CI/CD:
    • Implementar controles de acceso y autenticación sólidos para todos los sistemas de CI/CD.
    • Utilizar confirmaciones firmadas y compilaciones verificadas para garantizar la integridad de los artefactos implementados.
  3. Gestión de vulnerabilidades:
    • Implementar un escaneo continuo de vulnerabilidades para todos los componentes de la cadena de suministro de software.
    • Utilizar herramientas como Dependabot o Snyk para actualizar automáticamente las dependencias con vulnerabilidades conocidas.
  4. Almacenamiento seguro de artefactos:
    • Utilice repositorios de artefactos fiables y con control de acceso para almacenar imágenes de contenedores y otros artefactos de compilación.
    • Implemente la firma y verificación de imágenes para garantizar la integridad de los artefactos implementados.

#10. Componentes obsoletos y CVE

Mantener actualizados los componentes de Kubernetes y las herramientas asociadas es fundamental para mantener la seguridad del clúster.

Cómo abordarlo:

  1. Aplicar parches y actualizaciones periódicamente:
    • Implemente un programa de aplicación de parches periódicos para todos los componentes de Kubernetes, incluidos el plano de control, los nodos de trabajo y los complementos.
    • Utilice herramientas como kube-bench para identificar componentes obsoletos y configuraciones incorrectas.
  2. Supervisión y gestión de CVE:
    • Suscríbase a los avisos de seguridad de Kubernetes y a los feeds CVE pertinentes.
    • Implemente un proceso para evaluar y priorizar los CVE que afectan a los componentes de su clúster.
  3. Pruebas de actualización automatizadas:
    • Implemente pruebas automatizadas de las actualizaciones de Kubernetes en un entorno de prueba antes de aplicarlas a la producción.
    • Utilizar implementaciones canarias o actualizaciones azul-verde para minimizar el impacto de posibles problemas.
  4. Gestión de la desviación de versiones:
    • Tenga en cuenta la desviación de versiones compatible entre los componentes de Kubernetes y asegúrese de que todos los componentes se encuentren dentro de los rangos compatibles.
    • Planifique actualizaciones periódicas de versiones principales para mantenerse al día con las últimas funciones y correcciones de seguridad.

kubernetes security issues - addressing specific security issues | SentinelOneMejores prácticas de seguridad de Kubernetes

Además de abordar problemas de seguridad específicos, es fundamental implementar un conjunto de mejores prácticas de seguridad integrales para mantener una postura de seguridad sólida en Kubernetes. A continuación se indican algunas prácticas clave que se deben tener en cuenta:

1. Escaneo de imágenes

Al crear una imagen para una aplicación, se pueden crear varias superficies de ataque de seguridad, como el uso de código de registros no confiables,

Un atacante podría utilizar cualquiera de estas vulnerabilidades en una imagen para salir del contenedor, obtener acceso al host o al nodo de trabajo de Kubernetes y, si tiene éxito, acceder a todos los demás contenedores que se ejecutan en ese host. Con este nivel de control, podrá leer los datos de los volúmenes del host, el sistema de archivos y, potencialmente, las configuraciones de Kubelet que se ejecutan en ese host, incluido el token de autenticación de Kubelets y el certificado que utiliza para comunicarse con el servidor API de Kubernetes. Esto le dará al atacante la oportunidad de dañar aún más el clúster y escalar privilegios.

Por lo tanto, se puede realizar un análisis periódico de las imágenes de los contenedores en busca de vulnerabilidades utilizando herramientas como Sysdig, Synk, Trivy, etc., que poseen una base de datos de vulnerabilidades que se actualiza y realiza el análisis de su imagen en busca de esas vulnerabilidades conocidas. Esto se puede hacer durante la compilación en su canalización de CI/CD antes de que se envíen al registro.

2. Ejecutar como usuario no root

Siempre que sea posible, configure los contenedores para que se ejecuten como usuarios no root. Al crear su imagen, cree un usuario de servicio dedicado y ejecute la aplicación con él en lugar del usuario root. Esto limita el impacto potencial impacto potencial de un contenedor comprometido.

# crear grupo y usuario

RUN groupadd -r myapp && useradd -g myapp myapp

# establecer la propiedad y los permisos

RUN chown -R myapp:myapp / app

# cambiar a usuario

USER myapp

MD node index.js

Nota: Esto puede sobrescribirse por una posible configuración incorrecta en el propio pod.

Utilice el campo securityContext en las especificaciones del pod para establecer runAsUser y runAsGroup en valores distintos de cero. Además, establezca allowPrivilegeEscalation: false para evitar la escalada de privilegios dentro de los contenedores.

3. Usuarios y permisos con RBAC

Implemente políticas detalladas de Control de acceso basado en roles (RBAC) para garantizar que los usuarios y las cuentas de servicio solo tengan los permisos necesarios para realizar sus tareas. Audite periódicamente las políticas RBAC y elimine los permisos innecesarios. Utilice herramientas como rbac-lookup o `rakkess` para visualizar y analizar las configuraciones RBAC.

4. Utilice políticas de red

De forma predeterminada, todos los pods de un clúster pueden comunicarse entre sí, lo que significa que si un atacante obtiene acceso a un pod, puede acceder a cualquier otro pod de aplicación. Pero, en realidad, no todos los pods necesitan comunicarse entre sí, por lo que podemos limitar las comunicaciones entre ellos implementando políticas de red de Kubernetes para controlar la comunicación entre pods y entre pods y el exterior.

Adopte una postura predeterminada de "denegar todo" y permita explícitamente el tráfico necesario. Utilice herramientas como Cilium o Calico para una aplicación y visibilidad avanzadas de las políticas de red.

para obtener el máximo

5. Cifrar las comunicaciones

Las comunicaciones entre pods en Kubernetes no están cifradas, por lo que los atacantes podrían leer todas las comunicaciones en texto plano. Utilice TLS para las comunicaciones del servidor API, el tráfico entre pares y clientes de etcd y las conexiones kubelet. Implemente una malla de servicios como Istio o Linkerd para habilitar TLS mutuo (mTLS) para la comunicación entre pods.

6. Proteja los datos secretos

Los datos confidenciales, como credenciales, tokens secretos, claves privadas, etc., se almacenan en el recurso secrets de Kubernetes, pero, de forma predeterminada, se almacenan sin cifrar, solo con codificación base64, por lo que cualquiera que tenga permiso para ver los secretos puede simplemente decodificar el contenido.

Puede utilizar la solución nativa – Kubernetes Secrets para almacenar información confidencial y cifrarla en reposo utilizando proveedores de cifrado.

Considere la posibilidad de utilizar soluciones externas de gestión de secretos, como HashiCorp Vault o AWS Secrets Manager, para mejorar la seguridad y centralizar la gestión de los secretos en varios clústeres.

7. Almacén seguro de etcd

Cifre los datos etcd en reposo y proteja las comunicaciones etcd utilizando TLS. Implemente la autenticación de certificados de cliente para el acceso a etcd y restrinja el acceso a los nodos etcd utilizando políticas de red. Realice copias de seguridad periódicas de los datos etcd y pruebe los procedimientos de restauración.

8. Copia de seguridad y restauración automatizadas

Implemente copias de seguridad automatizadas y cifradas del estado del clúster, incluidos los datos etcd y los volúmenes persistentes. Pruebe periódicamente los procedimientos de restauración para garantizar la integridad de los datos y minimizar el tiempo de inactividad en caso de desastres. Considere el uso de herramientas como Velero para las capacidades de copia de seguridad y restauración nativas de Kubernetes.

9. Configurar políticas de seguridad

Implemente y aplique políticas de seguridad utilizando herramientas como Open Policy Agent (OPA) Gatekeeper o Kyverno. Estas herramientas le permiten definir y aplicar políticas personalizadas en todo el clúster, como exigir etiquetas específicas, aplicar límites de recursos o restringir el uso de contenedores privilegiados.

10. Recuperación ante desastres

Desarrolle y pruebe periódicamente un plan integral de recuperación ante desastres para sus clústeres de Kubernetes. Este debe incluir procedimientos para la recuperación ante diversos escenarios de fallo, como fallos de nodos, interrupciones del plano de control o corrupción de datos. Implemente estrategias multirregionales o multiclúster para cargas de trabajo críticas a fin de garantizar una alta disponibilidad y resiliencia.


Guía del comprador de la CNAPP

Aprenda todo lo que necesita saber para encontrar la plataforma de protección de aplicaciones nativas de la nube adecuada para su organización.

Guía de lectura

SentinelOne para la seguridad de Kubernetes

SentinelOne es una plataforma de ciberseguridad que se centra en la seguridad, la detección y la respuesta de los puntos finales. En lo que respecta a la seguridad de Kubernetes, SentinelOne ofrece una forma basada en políticas para proteger el entorno en Kubernetes. A continuación se ofrece una descripción general de la política de seguridad de Kubernetes de SentinelOne’s Kubernetes en resumen:

Características principales:

  • Gestión de la postura de seguridad de Kubernetes: ofrece una visión general del entorno de Kubernetes en términos de postura de seguridad de clústeres, nodos y pods. Esta plataforma incluso identifica áreas de configuraciones erróneas, imágenes vulnerables y problemas de cumplimiento.
  • Política como código: Con SentinelOne, puede expresar su política de seguridad como código en archivos YAML/JSON para proporcionar control de versiones y automatización, y garantizar la coherencia de ese entorno.
  • Detección de amenazas en tiempo real: El motor basado en IA detecta amenazas en tiempo real y responde, incluyendo fugas de contenedores, escaladas de privilegios y movimientos laterales.
  • Respuesta automatizada: La plataforma integra además la función de contención y corrección de amenazas mediante una respuesta automatizada, lo que reduce el MTTD y el MTTR.
  • Cumplimiento normativo y gobernanza: SentinelOne proporciona políticas y informes personalizables para mantener el cumplimiento de PCI-DSS, HIPAA, GDPR y muchas otras normas.

A continuación se indican los tipos de políticas que admite SentinelOne para garantizar la seguridad de Kubernetes

  • Políticas de red: Ayudan a controlar el flujo de tráfico entre pods y servicios, tanto entrante como saliente.
  • Políticas de seguridad de pods: Establecen la configuración de seguridad a nivel de pod, la escalada de privilegios, los montajes de volúmenes y las políticas de red
  • Políticas de seguridad de clústeres: Aplican la configuración de seguridad en el clúster, lo que incluye la autenticación, la autorización y el control de admisión
  • Políticas de seguridad de imágenes: Analizar imágenes en busca de vulnerabilidades y aplicar el cumplimiento de los parámetros de referencia de seguridad

Estas son las formas en que SentinelOne aplica las políticas e incluyen

  • Control de admisión de Kubernetes: Una interfaz con el control de admisión de Kubernetes que aplica políticas a las solicitudes entrantes.
  • Seguridad del tiempo de ejecución de contenedores: Protege el contenedor en tiempo de ejecución contra cualquier actividad maliciosa que pueda realizarse.
  • Control del tráfico de red: Capacidad para permitir o denegar el tráfico en función de las políticas de red definidas.


Vea SentinelOne en acción

Descubra cómo la seguridad en la nube basada en IA puede proteger su organización en una demostración individual con un experto en productos SentinelOne.

Demostración

Conclusión

La protección de los entornos de Kubernetes es un proceso complejo y continuo que requiere un enfoque multicapa. Al abordar las cuestiones clave de seguridad descritas en este artículo y aplicar las mejores prácticas, las organizaciones pueden reducir significativamente su exposición al riesgo y crear infraestructuras contenedorizadas más resistentes.

Recuerde que la seguridad de Kubernetes no es un esfuerzo puntual, sino un proceso continuo de mejora, supervisión y adaptación. Manténgase informado sobre las últimas novedades en materia de seguridad en el ecosistema de Kubernetes, evalúe periódicamente la postura de seguridad de su clúster y esté preparado para responder rápidamente a las nuevas amenazas y vulnerabilidades que surjan.

"

FAQs

Los problemas de seguridad de Kubernetes incluyen la exposición del servidor API, la configuración incorrecta de RBAC, las imágenes de contenedores sin escanear, las políticas de red inseguras y la gestión inadecuada de los secretos.

La seguridad se puede mantener aplicando RBAC, utilizando políticas de red, escaneando imágenes en busca de vulnerabilidades, cifrando las comunicaciones y gestionando de forma segura los secretos y los datos etcd.

Las 4 C de la seguridad de Kubernetes son Cloud (nube), Cluster (clúster), Container (contenedor) y Code (código). Cada capa debe protegerse para garantizar la seguridad general del entorno de Kubernetes.

Descubre más sobre Seguridad en la nube

Las 5 mejores herramientas de seguridad en la nube para 2025Seguridad en la nube

Las 5 mejores herramientas de seguridad en la nube para 2025

Elegir las herramientas de seguridad en la nube adecuadas implica comprender los retos de la seguridad en la nube y navegar por su panorama dinámico. Le guiaremos a través de todo lo que necesita saber para elegir la herramienta adecuada y mantenerse protegido.

Seguir leyendo
¿Qué es la plataforma de protección de cargas de trabajo en la nube (CWPP) de AWS?Seguridad en la nube

¿Qué es la plataforma de protección de cargas de trabajo en la nube (CWPP) de AWS?

En este blog se explica cómo proteger la nube de AWS con CWPP. Analizaremos los componentes esenciales, las estrategias y las prácticas recomendadas para la protección de la carga de trabajo y cómo proteger la nube con AWS CWPP.

Seguir leyendo
Lista de verificación para la evaluación de la postura de seguridad: aspectos claveSeguridad en la nube

Lista de verificación para la evaluación de la postura de seguridad: aspectos clave

Descubra cómo una lista de verificación para la evaluación de la postura de seguridad puede ayudarle a identificar los riesgos y vulnerabilidades de su ciberseguridad. Las evaluaciones periódicas mejoran la preparación y garantizan una protección sólida contra las amenazas en constante evolución.

Seguir leyendo
Las 10 mejores soluciones CIEM para 2025Seguridad en la nube

Las 10 mejores soluciones CIEM para 2025

¡Transforme la experiencia de sus clientes con las soluciones CIEM! Permita a las empresas ofrecer un servicio excepcional, fomentar la fidelidad y aumentar los ingresos mediante información basada en datos y una interacción en tiempo real.

Seguir leyendo
  • Comenzar
  • Solicitar una demo
  • Recorrido por el producto
  • Por qué SentinelOne
  • Precios y Paquetes
  • FAQ
  • Contacto
  • Contacto
  • Soporte
  • SentinelOne Status
  • Idioma
  • Español
  • Plataforma
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Servicios
  • Wayfinder TDR
  • SentinelOne GO
  • Gestión técnica de cuentas
  • Servicios de apoyo
  • Industria
  • Energía
  • Administración Pública
  • Finanzas
  • Sanidad
  • Educación
  • Educación K-12
  • Fabricación
  • Comercio
  • Sector público estatal y local
  • Cybersecurity for SMB
  • Recursos
  • Blog
  • Labs
  • Videos
  • Recorrido por el producto
  • Events
  • Cybersecurity 101
  • eBooks
  • Libros blancos
  • Prensa
  • News
  • Glosario de Ransomware
  • Empresa
  • Quiénes somos
  • Nuestros clientes
  • Carreras
  • Partners
  • Legal & Compliance
  • Declaración de seguridad
  • S Foundation
  • S Ventures

©2025 SentinelOne, Todos los derechos reservados.

Confidencialidad Condiciones de uso