La seguridad de Kubernetes incluye políticas de seguridad para garantizar que la infraestructura de Kubernetes, junto con las aplicaciones y los datos, estén protegidos contra accesos no autorizados o cualquier otro tipo de amenazas de seguridad. Las pruebas de seguridad de Kubernetes son el proceso de verificación y validación de las metodologías de protección/seguridad utilizadas en el entorno K8s.
Este blog proporciona una comprensión completa de las pruebas de seguridad en Kubernetes y por qué debemos enfocarnos en algunas áreas clave. Más adelante en el blog, examinaremos la arquitectura de Kubernetes, una lista de vulnerabilidades comunes y metodologías de prueba que las organizaciones pueden utilizar como parte de las mejores prácticas para mejorar su postura general de seguridad en Kubernetes.
¿Qué son las pruebas de seguridad en Kubernetes?
Las pruebas de seguridad en Kubernetes son el proceso de certificar y verificar que las distintas capas de un entorno Kubernetes proporcionan medidas seguras. Lo que hace es analizar diferentes componentes de la infraestructura de Kubernetes, como clústeres, nodos, pods y la configuración de red, para asegurarse de que no existan problemas de seguridad ni posibles vías de vulnerabilidad.
Este es el tipo de prueba en la que el equipo de seguridad comienza validando el control de acceso, la política de red, la configuración de contenedores y otros aspectos similares. Esto se realiza para garantizar que el entorno de Kubernetes no sea víctima de accesos no autenticados, filtraciones de datos y otros tipos de amenazas de seguridad que puedan causar daños potenciales en el proceso operativo.
Importancia de las pruebas de seguridad para Kubernetes:
- Encontrar vulnerabilidades: Las pruebas regulares son la única forma de identificar puntos débiles de seguridad antes de que estén disponibles para los atacantes.
- Cumplimiento: Muchas industrias tienen estándares de seguridad específicos que deben cumplirse, y las pruebas ayudan al cumplimiento.
- Proteger los datos: Protege los datos sensibles que se almacenan y procesan en los clústeres de Kubernetes.
- Estabilidad operativa: Las brechas pueden provocar interrupciones significativas en el curso normal de las operaciones comerciales sin pruebas adecuadas.
- Protección de la reputación: Mantener un entorno de Kubernetes seguro puede evitar filtraciones de datos e interrupciones de servicio que dañen la imagen de su organización.
Vulnerabilidades comunes de seguridad en Kubernetes
Los entornos de Kubernetes enfrentan varios desafíos de seguridad. A continuación, se presentan cinco vulnerabilidades comunes que pueden afectar la seguridad del entorno de Kubernetes:
Configuraciones incorrectas
Los archivos YAML y los objetos de la API suelen ser la causa de configuraciones incorrectas en Kubernetes. Esto incluye paneles no minimizados, políticas de seguridad de pods demasiado permisivas o políticas de red insuficientes. Por ejemplo, puede ser tan simple como habilitar el controlador de admisión AlwaysPullImages sin comprender sus implicaciones en tiempo de ejecución. Esto habilita la posibilidad de accesos no autorizados, filtraciones de datos y abuso de recursos debido a configuraciones incorrectas.
Vulnerabilidades en imágenes de contenedores
No es suficiente realizar solo análisis de seguridad dinámicos porque las imágenes de contenedores pueden construirse a partir de software antiguo que tiene vulnerabilidades conocidas. Esto puede llevar a accesos no autorizados a los contenedores o permitir que los atacantes ejecuten código malicioso. Los atacantes pueden apuntar a CVEs conocidos en imágenes base o dependencias de aplicaciones (por ejemplo, una versión vulnerable de OpenSSL) o bibliotecas de sistema desactualizadas. Los repositorios públicos pueden contener muchas imágenes vulnerables, no confiables o no verificadas que aumentan las posibilidades de inyectar vulnerabilidades en el entorno de Kubernetes.
Problemas de seguridad de red
Los riesgos comunes de seguridad de red en Kubernetes están relacionados con políticas de red mal configuradas y exposición de servicios. Esto puede permitir que los pods accedan a redes de manera ilegítima e incluso desde fuentes externas. El uso incorrecto de recursos NetworkPolicy o la mala configuración de plugins CNI pueden abrir rutas de red no deseadas.
Debilidades en el control de acceso
Las vulnerabilidades de control de acceso en Kubernetes generalmente ocurren debido a políticas RBAC mal configuradas y cuentas de servicio mal gestionadas. Esto incluye técnicas que permiten la escalada de privilegios o el acceso no autorizado a recursos sensibles. Una forma común de inyectar este tipo de vulnerabilidad es definiendo ClusterRoles demasiado permisivos o RoleBindings mal orquestados. Un control de acceso débil permite que usuarios o servicios realicen acciones no previstas, como cambiar configuraciones a nivel de clúster o acceder a datos en otros namespaces.
Fallos en la gestión de secretos
Estos son los secretos de Kubernetes, que deben mantenerse con mucho cuidado ya que contienen información sensible. El texto plano de secretos en sistemas de control de versiones o el cifrado débil de etcd puede filtrar datos sensibles. En un entorno de alta seguridad, el cifrado predeterminado proporcionado en etcd podría no ser suficiente y requerir un cifrado adicional en reposo. La exposición no intencionada también puede ser causada por un manejo inapropiado de secretos (por ejemplo, montarlos como variables de entorno o en logs).
Lista de verificación para pruebas de seguridad en Kubernetes
Esta lista describe las áreas clave en las que enfocarse al realizar pruebas de seguridad en Kubernetes:
#1. Verificaciones de seguridad a nivel de clúster
Esto incluye verificar la configuración del servidor API, incluidos los mecanismos de autenticación y los controladores de admisión, y revisar las políticas RBAC para su correcta implementación y principios de mínimo privilegio. También es necesario evaluar el cifrado y control de acceso de etcd y examinar recursos a nivel de clúster como PodSecurityPolicies y NetworkPolicies para su corrección.
Esta tarea también contiene la evaluación de las configuraciones de los componentes del plano de control, incluido el scheduler y el controller manager, y la verificación de la comunicación segura entre los componentes del plano de control. Además, es necesario comprobar la segregación adecuada de cargas de trabajo del sistema y del usuario con namespaces y evaluar los procesos de actualización del clúster y la compatibilidad con versiones.
#2. Verificaciones de seguridad a nivel de nodo
Incluyen la inspección de las configuraciones de los nodos, incluyendo los ajustes de kubelet y las opciones de seguridad del runtime de contenedores. La tarea continúa con la verificación de los mecanismos de autorización y autenticación de los nodos, comprobando el endurecimiento adecuado del sistema operativo y la eliminación de servicios innecesarios.
La tarea también incluye la evaluación de las configuraciones de red a nivel de nodo y las reglas de firewall, la evaluación de la asignación de recursos y límites de los nodos, el arranque seguro y los mecanismos de integridad. El examen de las etiquetas de los nodos para la programación adecuada de cargas de trabajo, la verificación de la configuración correcta de los drivers de almacenamiento de contenedores y el aislamiento adecuado entre los componentes del nodo y los contenedores completan estas verificaciones.
#3. Verificaciones de seguridad de pods y contenedores
Esto implica examinar los contextos de seguridad de los pods, cubriendo IDs de usuario/grupo, capacidades y perfiles seccomp, verificar las fuentes de imágenes de contenedores y los procesos de escaneo, y comprobar los límites y solicitudes de recursos adecuados en los contenedores. También se requiere examinar las asociaciones pod a pod y pod a cuenta de servicio, las configuraciones del runtime de contenedores como sistemas de archivos raíz de solo lectura y capacidades eliminadas, y la información sensible en variables de entorno o argumentos de comando.
Además, esta tarea también implica revisiones para el uso adecuado de init containers y patrones sidecar, la evaluación de los chequeos de salud de los contenedores y las políticas de reinicio, los presupuestos de disrupción de pods y las configuraciones de calidad de servicio, el uso adecuado de reglas de anti-afinidad de pods para configuraciones de alta disponibilidad y la implementación de políticas de estándares de seguridad de pods.
#4. Verificaciones de seguridad de red
Examinar los recursos NetworkPolicy para una segmentación adecuada y acceso de mínimo privilegio. Verificar los controles de ingreso y egreso a nivel de pod y namespace. Comprobar la configuración adecuada de TLS en recursos de ingreso y servicios. Evaluar las implementaciones de service mesh si se utilizan.
Evaluar las configuraciones de plugins CNI y la seguridad de la superposición de red. Comprobar el aislamiento adecuado entre diferentes namespaces de red. Verificar las configuraciones de DNS y el potencial de ataques basados en DNS. Evaluar los mecanismos de cifrado del tráfico de red, incluida la comunicación pod a pod.
Examinar la configuración de kube-proxy para posibles configuraciones incorrectas. Verificar el uso adecuado de políticas de red junto con cuentas de servicio. Comprobar la implementación adecuada de balanceadores de carga externos y sus configuraciones de seguridad.
#5. Verificaciones de cuentas de servicio y gestión de secretos
Verificar la configuración y uso adecuado de las cuentas de servicio, incluidos los ajustes de montaje automático de tokens. Examinar los enlaces RBAC asociados a las cuentas de servicio. Comprobar los privilegios innecesarios otorgados a las cuentas de servicio predeterminadas.
Evaluar las prácticas de gestión de secretos, incluido el cifrado en reposo y en tránsito. Verificar el uso adecuado de sistemas externos de gestión de secretos si corresponde. Comprobar las políticas e implementación de rotación de secretos.
Evaluar el uso de mecanismos de identidad de pods para entornos en la nube. Verificar la configuración adecuada de los mecanismos de inyección de secretos. Comprobar la existencia de credenciales o tokens codificados en el código de la aplicación o configuraciones.
#6. Verificaciones de monitoreo y alertas
Verificar la implementación adecuada de soluciones de monitoreo, incluida la recopilación y almacenamiento de métricas. Evaluar la configuración de reglas de alerta para eventos relacionados con la seguridad. Comprobar la integración adecuada con sistemas de gestión de información y eventos de seguridad (SIEM).
Evaluar la cobertura de métricas y logs relacionados con la seguridad. Verificar los controles de acceso adecuados a los sistemas de monitoreo y alertas. Comprobar la implementación de mecanismos de detección de anomalías.
Evaluar la configuración del registro de auditoría y su integración con los sistemas de monitoreo. Verificar las políticas de retención y archivo adecuadas para logs y métricas de seguridad. Comprobar la alerta adecuada sobre eventos críticos de seguridad, como intentos de acceso no autorizado o violaciones de políticas.
Guía de mercados de la CNAPP
Obtenga información clave sobre el estado del mercado de CNAPP en esta guía de mercado de Gartner para plataformas de protección de aplicaciones nativas de la nube.
Guía de lecturaBeneficios de las pruebas de seguridad en Kubernetes
La seguridad en Kubernetes ofrece múltiples beneficios a las organizaciones, desde la detección de amenazas hasta la optimización de costos. Algunos de ellos se enumeran a continuación:
1. Detección mejorada de amenazas
El análisis de seguridad puede detectar y prevenir posibles vulnerabilidades/amenazas que de otro modo no serían posibles. Permite a las organizaciones descubrir configuraciones incorrectas, controles de acceso deficientes y otras vulnerabilidades de seguridad antes de que puedan ser comprometidas. Las pruebas regulares permitirían detectar nuevas vulnerabilidades de día cero causadas por cambios en los componentes del entorno o nuevos tipos de vectores de ataque.
2. Mejora del cumplimiento
Las pruebas de seguridad permiten a las organizaciones cumplir con los requisitos regulatorios y los estándares de la industria. Esto constituye evidencia de sus controles y prácticas de seguridad, que son importantes para las auditorías de cumplimiento. Después de todo, el cumplimiento no solo se trata de cifrado y pruebas, lo que hace que ciertas protecciones de datos, controles de acceso y otros mecanismos de seguridad formen parte de los marcos de cumplimiento requeridos, por ejemplo, GDPR, HIPAA o PCI DSS.
3. Reducción de la superficie de ataque
Las pruebas de seguridad en Kubernetes detectan y eliminan estas vulnerabilidades para reducir drásticamente la superficie de ataque del clúster. Esto elimina servicios expuestos no solicitados y permite fortalecer la red eliminando cuidadosamente permisos excesivos. Al ser proactivos, es más difícil para los atacantes encontrar algunos de los puntos débiles en el entorno de Kubernetes.
4. Estabilidad operativa
Las pruebas de seguridad periódicas también ayudan a garantizar que los despliegues en Kubernetes sean estables. Las organizaciones que identifican y abordan problemas de seguridad pueden evitar el tiempo de inactividad que suele acompañar a un evento de seguridad legítimo. Esto permite que las aplicaciones de Kubernetes funcionen con mayor disponibilidad, mejor rendimiento y una entrega de servicios más confiable.
5. Optimización de costos
Las pruebas de seguridad efectivas pueden optimizar el costo del despliegue de Kubernetes para las organizaciones. El principal beneficio de las pruebas es que brindan la oportunidad de identificar cualquier configuración incorrecta o sobreaprovisionamiento de recursos y, en última instancia, hacer un mejor uso de los recursos informáticos. Además, cuando se pueden prevenir brechas de seguridad mediante estas pruebas proactivas, se evitan gastos mayores relacionados con la respuesta a incidentes, la pérdida de datos y el daño reputacional.
Mejores prácticas para las pruebas de seguridad en Kubernetes
Para sacar el máximo provecho, a continuación se presentan algunas de las mejores prácticas que las empresas deben seguir:
1. Habilitar pruebas de seguridad continuas
Automatice las pruebas de seguridad para que formen parte del pipeline CI/CD y, así, asegure que siempre se ejecuten los controles de seguridad. Evalúe continuamente las configuraciones del clúster, las imágenes de contenedores y las políticas de red con escáneres de seguridad nativos de Kubernetes y aplicadores de políticas. Integre pruebas de seguridad automáticas como parte del proceso de despliegue para detectar cualquier vulnerabilidad antes de que llegue a producción.
2. Utilizar una estrategia de pruebas multidimensional
Utilice una combinación de tipos de pruebas de seguridad para cubrir la mayoría de los problemas relacionados con K8s. Esto implica un enfoque exhaustivo que incluye, entre otros, análisis estático de la configuración de Kubernetes, YAMLs e imágenes Docker, pruebas dinámicas en clústeres Kubernetes activos y pruebas de penetración para simular ataques reales. Emplee tanto herramientas automáticas como enfoques de pruebas manuales para una cobertura máxima de problemas de seguridad.
3. Mantener actualizados los conocimientos y herramientas de prueba
Actualice las herramientas de pruebas de seguridad y las mejores prácticas según las últimas versiones y recomendaciones de Kubernetes. Mantenga actualizadas las bases de datos/benchmarks utilizados para probar vulnerabilidades y seguridad. Haga seguimiento de nuevos vectores de amenazas y vulnerabilidades específicas de Kubernetes. Mantenga al equipo de seguridad informado sobre las últimas características de Kubernetes y sus implicaciones desde el punto de vista de la seguridad.
4. Reunir, priorizar y remediar hallazgos
Cree una metodología para priorizar y corregir los problemas de seguridad encontrados en las pruebas. Un enfoque basado en riesgos es una estrategia más racional para priorizar la remediación de vulnerabilidades de alto impacto, comenzando por un conjunto selecto de vectores. Establezca un mecanismo para rastrear, corregir y validar las remediaciones de todos los hallazgos de problemas de seguridad. Implemente SLAs para remediar vulnerabilidades críticas y que sean parcheadas o reconfiguradas dentro de los plazos acordados.
5. Colaborar entre equipos
Fomente la colaboración en las pruebas de seguridad entre los equipos de seguridad, desarrollo y operaciones. Incluya a los desarrolladores en los procesos de pruebas de seguridad para aumentar la concienciación sobre seguridad y mejores prácticas. Colabore con los equipos de operaciones para evitar que las pruebas de seguridad afecten negativamente a los entornos de producción. Implemente líneas de comunicación adecuadas para discutir los resultados de las pruebas de seguridad y coordinar los esfuerzos de remediación entre equipos.
Desafíos en las pruebas de seguridad en Kubernetes
Aunque Kubernetes ofrece grandes beneficios, realizar pruebas de seguridad en toda la infraestructura K8s puede ser una tarea difícil. Analicemos algunos de los desafíos que enfrentan las empresas:
1. El entorno de Kubernetes es complejo
Kubernetes es un sistema razonablemente complejo con múltiples componentes, configuraciones y dependencias integradas. La complejidad de las pruebas de seguridad es el punto clave a discutir aquí. Los evaluadores deben tener un conocimiento profundo de las interdependencias, políticas de red y controles de seguridad equivalentes entre los diferentes objetos de Kubernetes. Kubernetes es muy dinámico y cambia/se actualiza regularmente; esto dificulta las pruebas.
2. Factores de escalabilidad y rendimiento
Los clústeres de Kubernetes para pruebas de seguridad pueden consumir tiempo y recursos. Los escaneos y pruebas completos pueden afectar el rendimiento del clúster y provocar alta latencia. Mantener la eficiencia operativa mientras se cumplen los requisitos de seguridad es una tarea difícil. Por lo tanto, los evaluadores deben aprender a realizar controles de seguridad con el mínimo impacto en los servidores de producción.
3. Mantenerse al día con el cambio continuo
El ritmo de desarrollo acelerado de Kubernetes y su ecosistema asociado, con lanzamientos continuos que traen nuevas versiones, características y parches de seguridad, no es sencillo. Las herramientas y metodologías de pruebas de seguridad deben cambiar frecuentemente con estos. Los entornos de prueba actualizados, los benchmarks de seguridad y los casos de prueba que se adapten a nuevas características requieren un esfuerzo y recursos continuos.
4. Trabajo en entornos multicloud e híbridos
Varias organizaciones implementan Kubernetes en múltiples proveedores de nube o en configuraciones híbridas nube-on-premises. La infraestructura diversa también aporta mayor complejidad a las pruebas de seguridad. Los evaluadores deben considerar variaciones en los controles de seguridad centrados en la nube y configuraciones de red, así como diferentes mandatos de cumplimiento. Lograr el cumplimiento de pruebas de seguridad de manera consistente en diferentes entornos es el mayor aislamiento.
5. Requisitos específicos de contenedores
Las pruebas en K8s deben abordar vulnerabilidades y configuraciones incorrectas relacionadas con contenedores, así como realizar pruebas de seguridad desde el tipo de imágenes de contenedor hasta la seguridad en tiempo de ejecución y luego el mecanismo de aislamiento. Estas cosas deben probarse directamente y, para ello, los evaluadores deben conocer la técnica adecuada.
Cómo automatizar las pruebas de seguridad en Kubernetes
Automatizar las pruebas de seguridad en Kubernetes es importante para mantener la seguridad en un entorno dinámico. El proceso comienza con la integración de herramientas de escaneo de seguridad en el pipeline CI/CD. Estas herramientas examinarán automáticamente los manifiestos de Kubernetes, las imágenes de contenedores y las configuraciones del clúster para identificar vulnerabilidades de seguridad y configuraciones incorrectas. Los procesos de construcción y despliegue pueden incorporar herramientas open source populares como Kubesec y Kube-bench para proporcionar retroalimentación de seguridad continua.
Cuando estos requisitos no funcionales se aplican de manera programática, las políticas de consentimiento se automatizan mediante frameworks de policy-as-code como Open Policy Agent (OPA), lo que proporciona una base sólida para escalar y asegurar la infraestructura. Esto brinda a las organizaciones una forma de definir y aplicar políticas de seguridad en todos sus clústeres de Kubernetes de manera automática. Los equipos pueden controlar versiones, probar y aplicar estándares de seguridad en todo el ciclo de vida de la aplicación definiéndolos como código.
El monitoreo y las alertas continuas son tan importantes como las pruebas automatizadas para la detección en tiempo real de amenazas de seguridad en tiempo de ejecución. Habilitar alertas para actividades anómalas o violaciones de políticas permite que los equipos de seguridad aborden posibles problemas de seguridad de manera oportuna. La integración con SIEM proporciona capacidad adicional para correlacionar y analizar eventos de seguridad en todo el dominio de Kubernetes.
Seguridad y pruebas en Kubernetes con SentinelOne
SentinelOne proporciona protección para cargas de trabajo en Kubernetes con una pila de seguridad completa que incluye una arquitectura autónoma para la detección y respuesta a amenazas en tiempo real. Ofrece visibilidad en clústeres de Kubernetes, nodos y contenedores, además de acelerar el proceso de identificación y resolución de amenazas.
Búsqueda automatizada de amenazas
SentinelOne utiliza algoritmos de aprendizaje automático para detectar comportamientos anómalos en el clúster. Esta funcionalidad puede ayudar a detectar posibles amenazas, errores u operaciones maliciosas que de otro modo pasarían desapercibidas.
Protección en tiempo de ejecución y gestión de vulnerabilidades
La herramienta proporciona protección en tiempo de ejecución y gestión de vulnerabilidades para la seguridad de contenedores. Supervisa de cerca los eventos de contenedores, aplica políticas de seguridad y deniega acciones no autorizadas. La integración de SentinelOne CI/CD con registros de contenedores permite escanear e identificar automáticamente vulnerabilidades en imágenes de contenedores antes del despliegue.
Gestión y reportes centralizados
Con su solución de seguridad para Kubernetes, SentinelOne incluye gestión y reportes centralizados, permitiendo a los equipos de seguridad visualizar el estado general de su entorno Kubernetes de un vistazo. La plataforma proporciona paneles personalizables e informes detallados para el monitoreo/validación de cumplimiento y auditorías de seguridad.
Respuesta automatizada a incidentes
Otra característica destacada de la solución de seguridad para Kubernetes de SentinelOne es la respuesta automatizada a incidentes. Al confirmar una amenaza, cuando corresponde, la plataforma también tomará medidas para poner en cuarentena automáticamente los contenedores o nodos afectados, lo que ayuda a reducir el movimiento lateral y, en consecuencia, la posible gravedad de los incidentes de seguridad.
Protección de cargas de trabajo en la nube impulsada por IA (CWPP) para servidores, máquinas virtuales y contenedores, que detecta y detiene amenazas en tiempo de ejecución en tiempo real.
Conclusión
Para las organizaciones que utilizan cualquier forma de orquestación de contenedores, las pruebas de seguridad en Kubernetes son cruciales. Brindan visibilidad sobre la seguridad, configuraciones incorrectas y amenazas en todo el ecosistema de Kubernetes. La superficie de ataque se reduce drásticamente y una organización puede mejorar considerablemente su postura de seguridad simplemente implementando pruebas de seguridad en K8s.
Para los entornos de Kubernetes cada vez más complejos y en crecimiento, es esencial que se realicen auditorías de seguridad de forma regular y automatizada. Este paso preventivo no solo evita incidentes de seguridad, sino que también asegura el cumplimiento de la industria y sus regulaciones.
Vea SentinelOne en acción
Descubra cómo la seguridad en la nube basada en IA puede proteger su organización en una demostración individual con un experto en productos SentinelOne.
DemostraciónPreguntas frecuentes
El término prueba de seguridad en Kubernetes significa que va a probar y verificar la configuración de seguridad realizada en su clúster de Kubernetes. Esto implica revisar secciones de la infraestructura de Kubernetes, como nodos, pods, clústeres y configuraciones de red, para identificar posibles vulnerabilidades o debilidades de seguridad.
Los riesgos de seguridad comunes en entornos Kubernetes incluyen configuraciones incorrectas en los ajustes y recursos del clúster, vulnerabilidades en las imágenes de contenedores y problemas de seguridad de red, como políticas de red mal configuradas. Otros riesgos involucran debilidades en el control de acceso, incluidas políticas RBAC mal configuradas, fallos en la gestión de secretos y configuraciones inseguras del servidor API.
Para realizar una prueba de seguridad en Kubernetes, comience utilizando herramientas de escaneo automatizado para detectar configuraciones incorrectas y vulnerabilidades. Realice revisiones manuales de las configuraciones y políticas de Kubernetes y lleve a cabo pruebas de penetración para simular ataques reales. Analice el tráfico y las políticas de red, revise los controles de acceso y los mecanismos de autenticación, y evalúe la seguridad de las imágenes de contenedores.
SentinelOne ofrece una solución de seguridad para entornos Kubernetes, proporcionando capacidades integradas de pruebas y monitoreo de seguridad. Su plataforma utiliza algoritmos avanzados de aprendizaje automático para detectar anomalías, configuraciones incorrectas y vulnerabilidades en clústeres, nodos y contenedores de Kubernetes. La solución de SentinelOne incluye detección y respuesta automatizada de amenazas, protección en tiempo de ejecución para contenedores, análisis de vulnerabilidades en imágenes de contenedores y funciones de gestión y generación de informes centralizadas.
RBAC (Control de Acceso Basado en Roles) en Kubernetes es un método para regular el acceso a los recursos de Kubernetes según los roles de los usuarios dentro de una organización. Para probar RBAC, revise las políticas y definiciones de roles de RBAC y verifique la correcta vinculación de roles a usuarios y cuentas de servicio.
Para asegurar las imágenes de contenedores en Kubernetes, utilice imágenes base mínimas para reducir la superficie de ataque y escanee regularmente las imágenes en busca de vulnerabilidades. Implemente un proceso seguro de construcción de imágenes en su canalización CI/CD y utilice fuentes de imágenes confiables y verificadas. Implemente mecanismos de firma y verificación de imágenes y evite ejecutar contenedores como root.
