Os contêineres fornecem uma lista de benefícios para as organizações que os usam. São leves, flexíveis, acrescentam consistência ao ambiente e operam isoladamente.
No entanto, preocupações com segurança impedem algumas organizações de usar contêineres. Isso ocorre apesar deles terem uma camada extra de segurança incorporada – eles não são executados diretamente no sistema operacional que os hospedam.
Para facilitar o gerenciamento de contêineres, a AWS lançou um sistema operacional baseado em Linux3, de código aberto, destinado a hospedar contêineres. Embora as AMIs do Bottlerocket sejam fornecidas sem nenhum custo, as cobranças padrão do Amazon EC2 e da AWS se aplicam à execução de instâncias do Amazon EC2 e outros serviços.
O Bottlerocket foi desenvolvido especificamente para executar contêineres e melhorar a segurança e a utilização de recursos, incluindo apenas o software essencial para executar contêineres, o que melhora a utilização de recursos e reduz a superfície de ataque em comparação com os S.Os de uso geral.
Na Trend Micro, sempre focamos na segurança dos ambientes em nuvem de nossos clientes. Temos orgulho de ser um parceiro de lançamento do AWS Bottlerocket, com nosso componente Smart Check validado para o sistema operacional antes do lançamento.
Por que usar segurança adicional nos ambientes em nuvem
Embora um SO específico para contêineres que inclua medidas de segurança nativas seja uma enorme vantagem, parece haver uma grande questão sobre o porquê de as soluções de segurança de terceiros serem necessárias em ambientes de nuvem. Frequentemente ouvimos um equívoco com os deploys em nuvem que, como o provedor de serviços na nuvem incorporou segurança, os usuários não precisam pensar na segurança de seus dados.
Isso simplesmente não é exato e deixa uma falsa sensação de segurança.
Sim, provedores de nuvem como a AWS constroem medidas de segurança e resolvem problemas comuns adicionando controles de segurança embutidos. ENTRETANTO, os ambientes em nuvem operam com um modelo de responsabilidade compartilhada de segurança – o que significa que o provedor protege o ambiente e os usuários são responsáveis por suas instâncias e dados hospedados nelas.
Isso é para toda a hospedagem baseada em nuvem, seja em contêineres, serverless ou de outra forma.
Por que o Smart Check no Bottlerocket é importante
Execução suave sem roadblocks de segurança
As equipes de DevOps utilizam aplicações em contêiner para fazer o deploy rapidamente e não têm tempo para barreiras de segurança separadas. O Smart Check é desenvolvido para a comunidade DevOps com o scanning de imagens em tempo real em qualquer ponto do pipeline, para garantir que imagens inseguras não sejam implantadas.
Verificação de vulnerabilidades antes do runtime
Temos o maior conjunto de dados de vulnerabilidade de qualquer fornecedor de segurança, usado para verificar imagens em busca de falhas de software conhecidas antes que possam ser exploradas em tempo de execução. Isso inclui não apenas vulnerabilidades conhecidas de fornecedores da Zero Day Initiative (ZDI), como, também, inteligência de vulnerabilidade para erros corrigidos fora do programa ZDI e inteligência de vulnerabilidade de código aberto criada por meio de nossa parceria com a Snyk.
Flexível o suficiente para caber no seu pipeline
A segurança dos contêineres precisa ser tão flexível quanto os próprios contêineres. O Smart Check possui um processo administrativo simples para implementar regras de acesso baseadas em funções e vários cenários de verificação simultâneos para atender às suas necessidades específicas de pipeline.
Por meio de nossa parceria com a AWS, a Trend Micro está entusiasmada em auxiliar na garantia de que os clientes possam continuar executando sua parte do modelo de responsabilidade compartilhada através do scan de imagens de contêineres, validando que a solução Smart Check já está disponível para os clientes executarem no Bottlerocket.
Mais informações podem ser encontradas aqui: https://aws.amazon.com/bottlerocket/
Se você ainda estiver interessado em saber mais, confira este artigo da AWS por Jeff Barr.