Los 10 principales problemas de seguridad en Kubernetes

Kubernetes, la plataforma de orquestación de contenedores de facto, ha transformado la manera en que las organizaciones implementan, escalan y gestionan aplicaciones contenerizadas. Si bien ofrece un gran poder y flexibilidad, su complejidad inherente y naturaleza dinámica introducen varios desafíos de seguridad. A medida que los clústeres de Kubernetes abarcan múltiples nodos y alojan cargas de trabajo diversas, mantener la seguridad se convierte en una tarea abrumadora.

Este artículo explora problemas comunes de seguridad en Kubernetes y proporciona estrategias prácticas para abordarlos.

Necesidad de seguridad en Kubernetes

A medida que las empresas migran sus cargas de trabajo a Kubernetes,

Una encuesta de la Cloud Native Computing Foundation de 2023 reveló que el 93% de los encuestados experimentó al menos un incidente de seguridad en Kubernetes en el último año, con un 78% que carecía de confianza en su postura de seguridad, mientras que un informe separado de Aqua Security encontró que un asombroso 90% de las organizaciones que ejecutan Kubernetes en producción enfrentaron un incidente de seguridad durante el mismo período.

Incidentes recientes de alto perfil han resaltado la necesidad crítica de medidas sólidas de seguridad en Kubernetes. En 2018, la consola de Kubernetes de Tesla fue comprometida, lo que llevó a la exposición de datos sensibles y al uso no autorizado de recursos informáticos para la minería de criptomonedas. Más recientemente, en 2021, una vulnerabilidad en el runtime de contenedores (CVE-2021-32760) permitió a los atacantes escapar del aislamiento del contenedor y potencialmente obtener acceso root al sistema anfitrión.

Estos incidentes sirven como recordatorios contundentes de que la seguridad en Kubernetes no es opcional: es un requisito fundamental para cualquier organización que ejecute cargas de trabajo contenerizadas a escala.

Algunas vulnerabilidades notables de Kubernetes descubiertas en los últimos años incluyen:

• CVE-2018-1002105: Una falla crítica en el servidor API de Kubernetes permitía a usuarios no autorizados escalar privilegios y ejecutar comandos arbitrarios en cualquier pod del clúster.
• CVE-2019-11246: Una vulnerabilidad en el comando `kubectl cp` que podría permitir a un atacante escribir archivos maliciosos en rutas arbitrarias en la estación de trabajo del usuario.
• CVE-2020-8554: Una vulnerabilidad de hombre en el medio que afecta a direcciones IP externas en servicios LoadBalancer y ExternalIPs.
• CVE-2021-25741: Un error en el proceso de saneamiento de volúmenes que podría permitir a los atacantes acceder a información sensible de pods previamente terminados.

¿Por qué Kubernetes es inseguro?

La arquitectura multifacética de Kubernetes trae consigo diversas vulnerabilidades, tales como:

• Exposición del servidor API: El servidor API, centro neurálgico del plano de control del clúster, es un objetivo principal.
• RBAC mal configurado: Roles y permisos mal definidos pueden conducir a accesos no autorizados.
• Políticas de red sin restricciones: La falta de segmentación de red facilita el movimiento lateral dentro del clúster.
• Configuraciones predeterminadas de contenedores: Contenedores que se ejecutan con privilegios de root o configuraciones predeterminadas son fácilmente explotables.

Problemas de seguridad en Kubernetes

El panorama de seguridad de Kubernetes está en constante evolución y surgen nuevas amenazas regularmente. Sin embargo, los siguientes problemas representan algunos de los desafíos más críticos y persistentes que enfrentan los administradores y equipos de seguridad de Kubernetes:

#1. Acceso no autorizado y escalada de privilegios

El acceso no autorizado a los recursos de Kubernetes es uno de los riesgos de seguridad más críticos que enfrentan los clústeres hoy en día. Los atacantes que obtienen acceso al clúster pueden potencialmente ejecutar código malicioso, robar datos sensibles o interrumpir operaciones.

Cómo abordarlo:

1. Implemente políticas sólidas de Control de Acceso Basado en Roles (RBAC):
   • Defina roles y roles de clúster granulares que se adhieran al principio de privilegio mínimo.
   • Utilice namespaces para segregar cargas de trabajo y limitar el alcance de los permisos.
   • Audite y revise regularmente las políticas de RBAC para asegurar que sigan siendo apropiadas.
2. Habilite y configure las Políticas de Seguridad de Pods (PSPs) o los Estándares de Seguridad de Pods (PSS) de Kubernetes:
   • Haga cumplir restricciones en la creación y ejecución de pods, como prevenir contenedores privilegiados o limitar el acceso al namespace del host.
   • Utilice PSPs/PSS para aplicar buenas prácticas de seguridad en todo el clúster.
   • Implemente mecanismos de autenticación sólidos: Utilice OpenID Connect (OIDC) u otros proveedores de identidad federada para la autenticación de usuarios.
   • Haga cumplir la autenticación multifactor (MFA) para todo acceso al clúster.
   • Rote regularmente los tokens de cuentas de servicio y limite sus permisos.
3. Proteja el servidor API de Kubernetes:
   • Habilite y configure controladores de admisión del servidor API como PodSecurityPolicy y NodeRestriction.
   • Utilice TLS para todas las comunicaciones del servidor API y valide los certificados de los clientes.

#2. Configuración insegura del servidor API

El servidor API de Kubernetes es el punto de entrada principal para gestionar los recursos del clúster. Las configuraciones incorrectas o vulnerabilidades en el servidor API pueden tener consecuencias graves para la seguridad del clúster.

Cómo abordarlo:

1. Proteja los endpoints del servidor API:
   • Utilice cifrado TLS fuerte para todas las comunicaciones del servidor API.
   • Implemente listas blancas de IP para restringir el acceso a redes de confianza.
   • Considere usar un bastion host o VPN para el acceso remoto al servidor API.
2. Habilite y configure controladores de admisión:
   • Utilice el controlador de admisión AlwaysPullImages para asegurar que se usen las versiones más recientes de las imágenes.
   • Habilite el controlador de admisión NodeRestriction para limitar los permisos del kubelet.
   • Implemente controladores de admisión personalizados para políticas de seguridad específicas de la organización.
3. Registro y monitoreo de auditoría:
   • Habilite y configure el registro de auditoría de Kubernetes para rastrear todas las solicitudes al servidor API.
   • Utilice herramientas como Falco o Sysdig para detectar y alertar sobre actividades sospechosas en el servidor API.
4. Análisis regular de vulnerabilidades:
   • Realice análisis periódicos de vulnerabilidades del servidor API y los componentes asociados.
   • Manténgase actualizado con los avisos de seguridad de Kubernetes y aplique parches oportunamente.

#3. Imágenes de contenedores vulnerables

Las imágenes de contenedores forman la base de las cargas de trabajo en Kubernetes. El uso de imágenes desactualizadas o vulnerables puede introducir riesgos de seguridad significativos en el clúster.

Cómo abordarlo:

1. Implemente escaneo de imágenes:
   • Utilice herramientas como Trivy, Clair o Anchore para escanear imágenes en busca de vulnerabilidades conocidas.
   • Integre el escaneo de imágenes en su pipeline CI/CD para evitar que se implementen imágenes vulnerables.
2. Haga cumplir la firma y verificación de imágenes:
   • Implemente un registro de imágenes confiable y utilice herramientas como Notary para la firma de imágenes.
   • Configure controladores de admisión para permitir solo imágenes firmadas de fuentes confiables.
3. Minimice la superficie de ataque de la imagen:
   • Utilice imágenes base mínimas como Alpine o imágenes distress para reducir la superficie de ataque potencial.
   • Elimine paquetes y utilidades innecesarias de las imágenes de producción.
4. Mantenga las imágenes actualizadas:
   • Actualice regularmente las imágenes base y las dependencias de la aplicación.
   • Implemente procesos automatizados para reconstruir y volver a implementar imágenes cuando haya actualizaciones disponibles.

#4. Configuración incorrecta de políticas de red

La configuración de red predeterminada de Kubernetes permite que todos los pods se comuniquen entre sí, lo que puede facilitar el movimiento lateral en caso de una brecha.

Cómo abordarlo:

1. Implemente políticas de red:
   • Utilice las Network Policies de Kubernetes para definir y hacer cumplir reglas de comunicación entre pods.
   • Adopte una postura predeterminada de “denegar todo” y permita explícitamente el tráfico necesario.
2. Segmente el tráfico de red:
   • Utilice namespaces para separar lógicamente las cargas de trabajo y aplique políticas de red a nivel de namespace.
   • Implemente microsegmentación de red para limitar el alcance de posibles brechas.
3. Cifre el tráfico entre pods:
   • Utilice service meshes como Istio o Linkerd para cifrar el tráfico entre pods.
   • Implemente TLS mutuo (mTLS) para todas las comunicaciones internas del clúster.
4. Monitoree el tráfico de red:
   • Utilice herramientas como Cilium o Calico para visibilidad avanzada de red y aplicación de políticas.
   • Implemente registro y análisis de flujos de red para detectar patrones de tráfico anómalos.

#5. Gestión de secretos

La gestión adecuada de información sensible como claves API, contraseñas y certificados es crucial para mantener la seguridad de las cargas de trabajo en Kubernetes.

Cómo abordarlo:

1. Utilice Kubernetes Secrets:
   • Almacene información sensible en Kubernetes Secrets en lugar de codificarlos en las especificaciones de los pods o config maps.
   • Cifre los Secrets en reposo utilizando proveedores de cifrado como AWS KMS o HashiCorp Vault.
2. Implemente gestión externa de secretos:
   • Utilice herramientas como External Secrets Operator o Sealed Secrets para integrarse con sistemas externos de gestión de secretos.
   • Implemente la provisión de secretos just-in-time para minimizar la exposición de información sensible.
3. Rote los secretos regularmente:
   • Implemente la rotación automatizada de todos los credenciales sensibles.
   • Utilice tokens y certificados de corta duración cuando sea posible para minimizar el impacto de posibles compromisos.
4. Limite el acceso a los secretos:
   • Utilice RBAC para restringir el acceso a los Secrets según la necesidad.
   • Implemente registro de auditoría para todo acceso y modificación de Secrets.

#6. Seguridad del almacén de datos etcd

El almacén clave-valor etcd es el principal repositorio de datos para todos los estados del clúster en Kubernetes. Comprometer etcd puede dar a los atacantes control total sobre el clúster.

Cómo abordarlo:

1. Cifre los datos de etcd en reposo:
   • Habilite el cifrado para etcd utilizando el recurso EncryptionConfiguration.
   • Utilice claves de cifrado fuertes y rótelas regularmente.
2. Proteja las comunicaciones de etcd:
   • Utilice TLS para todas las comunicaciones entre pares y clientes de etcd.
   • Implemente autenticación por certificado de cliente para el acceso a etcd.
3. Respaldo y recuperación ante desastres:
   • Implemente respaldos regulares y cifrados de los datos de etcd.
   • Pruebe y valide los procedimientos de restauración de etcd para asegurar la integridad de los datos.
4. Restrinja el acceso a etcd:
   • Ejecute etcd en nodos dedicados con acceso restringido.
   • Utilice políticas de red para limitar qué componentes pueden comunicarse con etcd.

#7. Riesgos de seguridad en tiempo de ejecución

La seguridad en tiempo de ejecución de contenedores es crucial para protegerse contra ataques que explotan vulnerabilidades en contenedores en ejecución.

Cómo abordarlo:

1. Implemente monitoreo de seguridad en tiempo de ejecución:
   • Utilice herramientas como Falco o Sysdig para detectar y alertar sobre comportamientos sospechosos de contenedores.
   • Implemente líneas base de comportamiento para identificar actividades anómalas en los contenedores.
2. Habilite SELinux o AppArmor:
   • Utilice perfiles de SELinux o AppArmor para restringir las capacidades de los contenedores y el acceso al sistema de archivos.
   • Implemente perfiles de seguridad personalizados para requisitos específicos de la aplicación.
3. Utilice perfiles seccomp:
   • Implemente perfiles seccomp para restringir las llamadas al sistema disponibles para los contenedores.
   • Comience con un perfil de denegación por defecto y permita gradualmente las llamadas necesarias.
4. Sandboxing de contenedores:
   • Considere usar gVisor o Kata Containers para mejorar el aislamiento entre los contenedores y el sistema anfitrión.

#8. Brechas en registro y monitoreo

El registro y monitoreo integral son esenciales para detectar y responder a incidentes de seguridad en entornos Kubernetes.

Cómo abordarlo:

1. Registro centralizado:
   • Implemente una solución de registro centralizado como ELK stack o Splunk para agregar logs de todos los componentes del clúster.
   • Utilice agentes de reenvío de logs como Fluentd o Logstash para recopilar logs de contenedores y nodos.
2. Implemente monitoreo robusto:
   • Utilice Prometheus y Grafana para monitorear la salud del clúster y métricas de rendimiento.
   • Implemente reglas de alerta personalizadas para detectar posibles problemas de seguridad.
3. Gestión de información y eventos de seguridad (SIEM):
   • Integre los logs y métricas de Kubernetes con una solución SIEM para detección avanzada de amenazas y correlación.
   • Implemente playbooks de respuesta automatizada para eventos de seguridad comunes.
4. Monitoreo continuo de cumplimiento:
   • Utilice herramientas como Kube-bench o Kube-hunter para evaluar continuamente el cumplimiento del clúster con las mejores prácticas de seguridad.
   • Implemente remediación automatizada para configuraciones incorrectas comunes.

#9. Ataques a la cadena de suministro

La cadena de suministro de software, incluidas las imágenes de contenedores y dependencias, puede ser un vector para introducir vulnerabilidades en entornos Kubernetes.

Cómo abordarlo:

1. Implemente una lista de materiales de software (SBOM):
   • Genere y mantenga SBOMs para todas las imágenes de contenedores y dependencias de aplicaciones.
   • Utilice herramientas como Syft o Tern para generar automáticamente SBOMs durante el proceso de construcción.
2. Proteja los pipelines CI/CD:
   • Implemente controles de acceso y autenticación sólidos para todos los sistemas CI/CD.
   • Utilice commits firmados y builds verificados para asegurar la integridad de los artefactos implementados.
3. Gestión de vulnerabilidades:
   • Implemente escaneo continuo de vulnerabilidades para todos los componentes de la cadena de suministro de software.
   • Utilice herramientas como Dependabot o Snyk para actualizar automáticamente dependencias con vulnerabilidades conocidas.
4. Proteja el almacenamiento de artefactos:
   • Utilice repositorios de artefactos confiables y controlados por acceso para almacenar imágenes de contenedores y otros artefactos de construcción.
   • Implemente firma y verificación de imágenes para asegurar la integridad de los artefactos implementados.

#10. Componentes desactualizados y CVEs

Mantener los componentes de Kubernetes y las herramientas asociadas actualizados es crucial para mantener la postura de seguridad del clúster.

Cómo abordarlo:

1. Actualizaciones y parches regulares:
   • Implemente un calendario regular de parches para todos los componentes de Kubernetes, incluido el plano de control, nodos de trabajo y complementos.
   • Utilice herramientas como kube-bench para identificar componentes desactualizados y configuraciones incorrectas.
2. Monitoreo y gestión de CVEs:
   • Suscríbase a los avisos de seguridad de Kubernetes y fuentes relevantes de CVEs.
   • Implemente un proceso para evaluar y priorizar los CVEs que afectan a los componentes de su clúster.
3. Pruebas automatizadas de actualizaciones:
   • Implemente pruebas automatizadas de actualizaciones de Kubernetes en un entorno de staging antes de aplicarlas en producción.
   • Utilice implementaciones canary o actualizaciones blue-green para minimizar el impacto de posibles problemas.
4. Gestión de diferencias de versión:
   • Tenga en cuenta la diferencia de versiones soportada entre los componentes de Kubernetes y asegúrese de que todos los componentes estén dentro de los rangos soportados.
   • Planifique actualizaciones regulares de versiones mayores para mantenerse al día con las últimas características y correcciones de seguridad.

Mejores prácticas de seguridad en Kubernetes

Además de abordar problemas de seguridad específicos, implementar un conjunto de buenas prácticas de seguridad integrales es crucial para mantener una postura de seguridad robusta en Kubernetes. Aquí algunas prácticas clave a considerar:

1. Escaneo de imágenes

Al construir una imagen para una aplicación, pueden crearse varias superficies de ataque de seguridad, como el uso de código de registros no confiables,

Un atacante podría aprovechar cualquiera de estas vulnerabilidades en una imagen para escapar del contenedor, obtener acceso al host o al nodo de trabajo de Kubernetes y, si tiene éxito, podrá acceder a todos los demás contenedores que se ejecutan en ese host. Con este nivel de control, podrá leer datos en los volúmenes del host, el sistema de archivos y potencialmente configuraciones de Kubelet que se ejecutan en ese host, incluido el token de autenticación de Kubelet y el certificado que utiliza para comunicarse con el servidor API de Kubernetes. Esto le dará al atacante la oportunidad de causar más daño al clúster y escalar privilegios.

Por lo tanto, el escaneo regular de imágenes de contenedores en busca de vulnerabilidades puede realizarse utilizando herramientas como Sysdig, Synk, Trivy, etc., que poseen una base de datos de vulnerabilidades que se actualiza y escanean su imagen contra esas vulnerabilidades conocidas. Esto puede hacerse durante la construcción en su pipeline CI/CD antes de que se publiquen en el registro.

2. Ejecute como usuario no root

Siempre que sea posible, configure los contenedores para que se ejecuten como usuarios no root. Al construir su imagen, cree un usuario de servicio dedicado y ejecute la aplicación con ese usuario en lugar del usuario root. Esto limita el impacto potencial de un compromiso del contenedor.

# crear grupo y usuario

RUN groupadd -r myapp && useradd -g myapp myapp

# establecer propiedad y permisos

RUN chown -R myapp:myapp / app

# cambiar a usuario

USER myapp

MD node index.js

Nota: Esto puede ser sobrescrito por una posible mala configuración en el propio pod.

Utilice el campo securityContext en las especificaciones del pod para establecer runAsUser y runAsGroup en valores distintos de cero. Además, establezca allowPrivilegeEscalation: false para evitar la escalada de privilegios dentro de los contenedores.

3. Usuarios y permisos con RBAC

Implemente políticas de Control de Acceso Basado en Roles (RBAC) granulares para asegurar que los usuarios y cuentas de servicio tengan solo los permisos necesarios para realizar sus tareas. Audite regularmente las políticas de RBAC y elimine permisos innecesarios. Utilice herramientas como rbac-lookup o `rakkess` para visualizar y analizar configuraciones de RBAC.

4. Utilice políticas de red

Por defecto, cada pod en un clúster puede comunicarse con los demás, lo que significa que si un atacante accede a un pod, puede acceder a cualquier otro pod de aplicación. Pero en realidad, no todos los pods necesitan comunicarse entre sí, por lo que podemos limitar las comunicaciones entre ellos implementando Network Policies de Kubernetes para controlar la comunicación entre pods y hacia el exterior.

Adopte una postura predeterminada de “denegar todo” y permita explícitamente el tráfico necesario. Utilice herramientas como Cilium o Calico para la aplicación avanzada de políticas de red y visibilidad.

para máximo

5. Cifre la comunicación

Las comunicaciones entre pods en Kubernetes no están cifradas, por lo que los atacantes podrían leer toda la comunicación en texto claro. Utilice TLS para la comunicación del servidor API, el tráfico entre pares y clientes de etcd, y las conexiones de kubelet. Implemente un service mesh como Istio o Linkerd para habilitar TLS mutuo (mTLS) en la comunicación entre pods.

6. Proteja los datos secretos

Para datos sensibles como credenciales, tokens secretos, claves privadas, etc., se almacenan en el recurso secrets de Kubernetes, pero por defecto esto se almacena sin cifrar, solo con codificación base64, por lo que cualquiera que tenga permiso para ver los secrets puede simplemente decodificar el contenido

Puede utilizar la solución nativa – Kubernetes Secrets para almacenar información sensible y cifrarla en reposo utilizando proveedores de cifrado.

Considere el uso de soluciones externas de gestión de secretos como HashiCorp Vault o AWS Secrets Manager para mayor seguridad y gestión centralizada de secretos en múltiples clústeres.

7. Proteja el almacén etcd

Cifre los datos de etcd en reposo y proteja las comunicaciones de etcd utilizando TLS. Implemente autenticación por certificado de cliente para el acceso a etcd y restrinja el acceso a los nodos de etcd mediante políticas de red. Realice respaldos regulares de los datos de etcd y pruebe los procedimientos de restauración.

8. Respaldo y restauración automatizados

Implemente respaldos automatizados y cifrados del estado del clúster, incluidos los datos de etcd y volúmenes persistentes. Pruebe regularmente los procedimientos de restauración para asegurar la integridad de los datos y minimizar el tiempo de inactividad en caso de desastres. Considere el uso de herramientas como Velero para capacidades nativas de respaldo y restauración en Kubernetes.

9. Configure políticas de seguridad

Implemente y haga cumplir políticas de seguridad utilizando herramientas como Open Policy Agent (OPA) Gatekeeper o Kyverno. Estas herramientas permiten definir y hacer cumplir políticas personalizadas en todo el clúster, como requerir etiquetas específicas, imponer límites de recursos o restringir el uso de contenedores privilegiados.

10. Recuperación ante desastres

Desarrolle y pruebe regularmente un plan integral de recuperación ante desastres para sus clústeres de Kubernetes. Esto debe incluir procedimientos para recuperarse de diversos escenarios de falla, como fallas de nodos, caídas del plano de control o corrupción de datos. Implemente estrategias multi-región o multi-clúster para cargas de trabajo críticas para garantizar alta disponibilidad y resiliencia.

SentinelOne para la seguridad en Kubernetes

SentinelOne es una plataforma de ciberseguridad que se centra en la seguridad, detección y respuesta en endpoints. En cuanto a la seguridad en Kubernetes, SentinelOne ofrece una forma basada en políticas para proteger el entorno en Kubernetes. A continuación, un resumen de la política de seguridad de Kubernetes de SentinelOne:

Características clave:

• Gestión de la postura de seguridad en Kubernetes: Proporciona una visión general del entorno de Kubernetes en términos de postura de seguridad de clúster, nodo y pod. Esta plataforma incluso identifica áreas de configuraciones incorrectas, imágenes vulnerables y problemas de cumplimiento.
• Política como código: Con SentinelOne, puede expresar su política de seguridad como código en archivos YAML/JSON para proporcionar control de versiones y automatización, y garantizar la consistencia de ese entorno.
• Detección de amenazas en tiempo real: El motor de IA conductual detecta amenazas en tiempo real y responde, incluyendo escapes de contenedores, escaladas de privilegios y movimiento lateral.
• Respuesta automatizada: La plataforma además integra la función de contención y remediación de amenazas mediante respuesta automatizada, disminuyendo el MTTD y MTTR.
• Cumplimiento y gobernanza: SentinelOne proporciona políticas y reportes personalizables para mantener el cumplimiento con PCI-DSS, HIPAA, GDPR y muchos otros.

Los siguientes son los tipos de políticas que admite SentinelOne para garantizar la seguridad en Kubernetes

• Políticas de red: Ayudan a controlar el flujo de tráfico entre pods y servicios, tanto entrante como saliente.
• Políticas de seguridad de pods: Establecen configuraciones de seguridad a nivel de pod, escalada de privilegios, montajes de volúmenes y políticas de red
• Políticas de seguridad de clúster: Hacen cumplir configuraciones de seguridad en el clúster, incluyendo autenticación, autorización y control de admisión
• Políticas de seguridad de imágenes: Escanean imágenes en busca de vulnerabilidades y hacen cumplir el cumplimiento con benchmarks de seguridad

Estas son las formas en que SentinelOne aplica políticas e incluyen

• Control de admisión de Kubernetes: Una interfaz con el control de admisión de Kubernetes que aplica políticas sobre las solicitudes entrantes.
• Seguridad en tiempo de ejecución de contenedores: Protege el contenedor en tiempo de ejecución contra cualquier actividad maliciosa que pueda realizarse.
• Control de tráfico de red: Capacidad para permitir o denegar tráfico según las políticas de red definidas.

Realizar un recorrido

Protección de cargas de trabajo en la nube impulsada por IA (CWPP) para servidores, máquinas virtuales y contenedores, que detecta y detiene amenazas en tiempo de ejecución en tiempo real.

Conclusión

Proteger entornos Kubernetes es un proceso complejo y continuo que requiere un enfoque multinivel. Al abordar los principales problemas de seguridad descritos en este artículo e implementar buenas prácticas, las organizaciones pueden reducir significativamente su exposición al riesgo y construir infraestructuras contenerizadas más resilientes.

Recuerde que la seguridad en Kubernetes no es un esfuerzo puntual, sino un proceso continuo de mejora, monitoreo y adaptación. Manténgase informado sobre los últimos desarrollos de seguridad en el ecosistema de Kubernetes, evalúe regularmente la postura de seguridad de su clúster y prepárese para responder rápidamente a nuevas amenazas y vulnerabilidades a medida que surjan.