La tecnología de contenedores ha ganado terreno entre las empresas debido
a la mayor eficiencia que proporciona. En este sentido, las organizaciones
utilizan ampliamente
Kubernetes
para implementar, escalar y administrar aplicaciones en contenedores.
Las organizaciones deben auditar Kubernetes para garantizar el cumplimiento
de las normas, encontrar anomalías e identificar riesgos de seguridad.
La plataforma de código abierto de
Wazuh juega un
papel fundamental en el monitoreo de Kubernetes y otros componentes de la
infraestructura de una organización.
¿Qué es Kubernetes?
Kubernetes es una solución de gestión de contenedores de código abierto que
automatiza la implementación y el escalado de contenedores y también gestiona
el ciclo de vida de los mismos. Organiza los contenedores en unidades lógicas
para una gestión y un descubrimiento sencillos. Kubernetes amplía la forma en
que escalamos las aplicaciones en contenedores para que podamos usar una
infraestructura verdaderamente persistente.
Se pueden crear aplicaciones nativas de la nube basadas en microservicios con
Kubernetes. Los entusiastas ven a Kubernetes como la piedra angular de la
modernización de aplicaciones. Permite la contenedorización de las
aplicaciones actuales, lo que permite a los desarrolladores crear aplicaciones
rápidamente.
La complejidad de ejecutar programas crece cuando se distribuyen en varios
servidores y contenedores. Para manejar esta complejidad, Kubernetes ofrece
una API de código abierto que administra dónde y cómo se ejecutarán esos
contenedores. Kubernetes incorpora balanceo de carga, controla el
descubrimiento de servicios, realiza un seguimiento de la asignación de
recursos y escala según el uso de cómputo. Además, evalúa la condición de cada
recurso y brinda a los programas la capacidad de auto-arreglarse replicando
contenedores o reiniciándolos automáticamente.
¿Qué es Wazuh?
Wazuh es
una plataforma XDR y SIEM unificada de código abierto. Es comercialmente
gratuito y tiene más de 10 millones de descargas anuales.
El indexador de Wazuh es un motor de análisis y búsqueda de texto completo
altamente escalable. El indexador almacena los registros de auditoría de
Kubernetes para brindar capacidades de análisis y búsqueda de datos en tiempo
real. El indexador de Wazuh aumenta la eficiencia durante la investigación de
un incidente cuando necesita recuperar datos relevantes de los registros de
auditoría.
Wazuh cuenta con una gran comunidad de usuarios que se apoyan entre sí y ayudan a mejorar el producto. Puede unirse a
la comunidad de Wazuh para contribuir con el producto y solicitar soporte para
cualquier problema que pueda tener.
Auditoría de Kubernetes
Existen varias políticas que las organizaciones deben cumplir, dependiendo de
la jurisdicción y el sector en el que operen. Algunas de estas políticas
mejoran la resiliencia cibernética de la infraestructura de TI, por ejemplo,
PCI DSS y GDPR. El clúster de Kubernetes es parte de la infraestructura de TI
y las organizaciones deben asegurarse de cumplir con las políticas y las
mejores prácticas de seguridad cuando corresponda.
Uno de los requisitos que aparecen en la mayoría de los documentos de
políticas de TI es la política de retención de registros que dictan cuánto
tiempo debe almacenar los registros. Se pueden usar estos registros para
identificar amenazas durante el monitoreo activo y la investigación de
incidentes.
Los administradores interactúan con el clúster de Kubernetes a través de la
API de Kubernetes, y el clúster puede registrar todas las solicitudes y
respuestas de la API. Se puede detectar llamadas API inusuales o no deseadas
desde los registros de auditoría de Kubernetes y se puede recibir alertas para
eventos como errores de autenticación, creación, modificación y eliminación de
contenedores.
Por ejemplo, la función de registro de auditoría de Kubernetes está
deshabilitada de forma predeterminada y por lo tanto, debe seguir algunos
pasos necesarios para encenderlo.
Uso de Wazuh para monitorear y archivar registros de auditoría de Kubernetes
Se debe monitorear los registros de auditoría para detectar amenazas y
anomalías de seguridad. Además, se debe indexar los registros para buscar
información relevante durante la investigación de un incidente. Wazuh
supervisa, almacena e indexa los registros de auditoría de Kubernetes.
El equipo de desarrollo de Wazuh tiene una
guía detallada sobre cómo auditar Kubernetes con Wazuh, entre ellos destaca:
-
Configurar el servidor de Wazuh para recibir y procesar los registros de
auditoría de Kubernetes. -
Habilitar los registros de auditoría en el clúster de Kubernetes y
reenviarlos al servidor de Wazuh. -
Crear reglas personalizadas para activar alertas cuando Wazuh detecta
eventos específicos en el registro de auditoría de Kubernetes. Por ejemplo,
puede crear reglas para activar alertas cuando se crean o eliminan recursos
en el clúster de Kubernetes. -
Configurar Wazuh para mostrar todos los registros archivados en el tablero.
Estos son registros de eventos de Kubernetes que no activaron una alerta.
Fuente:
THN
Los comentarios están cerrados.