Expansión de Runtime Security para AWS Fargate Twistlock, lesión cerebral axonal difusa grave

Anteriormente, compartí una inmersión profunda en el fondo alrededor de fargate y cómo twistlock protege sus contenedores a pedido. Para aquellos que no están familiarizados, fargate es un contenedor como un servicio que ofrece servicios web de Amazon que se ejecuta sobre ECS y le permite ejecutar contenedores docker sin tener que preocuparse por la infraestructura subyacente de las máquinas virtuales o los clústeres. Esta arquitectura de nanoxia deep silence 4 mini le brinda la libertad de ejecutar contenedores y escalar fácilmente mientras se enfoca en el desarrollo en lugar de las operaciones generales. Sin embargo, existen distintos desafíos de seguridad presentes en este diseño, ya que no tiene acceso a la máquina virtual subyacente. Sin este acceso, no puede instalar fácilmente un agente de seguridad tradicional, por lo que se necesita un nuevo enfoque.


Los usuarios tienen dos opciones para asegurar las aplicaciones en fargate. Los usuarios incorporan la seguridad como parte de su implementación o la seguridad de carga desde otro contenedor en el tiempo de ejecución. Los síntomas de ataque de ansiedad y ataque de pánico de estos métodos se analizan con más detalle en la publicación anterior del blog. En twistlock, utilizamos un enfoque de carga lateral. Elegimos este método porque no requiere que modifiques tus imágenes durante el proceso de construcción. Los desarrolladores construyen sus imágenes de la misma manera en que lo hacen hoy en día, y aseguran los contenedores durante el despliegue. Para agregar un defensor twistlock a su tarea de puerta lejana, simplemente copie y pegue la definición de tarea en nuestra interfaz de usuario y haga clic en un botón para crear una definición de tarea protegida. Realmente es así de fácil. Si quiere hacer esto como parte de la automatización, también puede hacerlo a través de nuestros apis. Con este enfoque, twistlock solo realiza modificaciones a la definición de tarea de fargate en lugar de hacerlo directamente a la imagen. Protección de procesos

Para varias versiones ahora, twistlock ha proporcionado protección en tiempo de ejecución a nivel de proceso para fargate. La protección de nivel de proceso garantiza que solo los ejecutables que se encuentran en la imagen original estén autorizados para ejecutarse dentro del contenedor, esto se hace de manera predeterminada. Esto significa que incluso si usted es vulnerable a un CVE y alguien intenta explotar uno de los servicios en ejecución en el contenedor, no podrá ejecutar ningún programa que no esté permitido explícitamente. Por ejemplo, convulsiones anóxicas reflejas en los síntomas de adultos, un atacante podría intentar ejecutar rpm para instalar un paquete o usar un comando curl para instalar malware. Si el defensor detecta algún comportamiento anómalo, twistlock puede alertar o hacer cumplir esa acción según la política elegida.

Además, twistlock proporciona otra funcionalidad inteligente de forma predeterminada. Por ejemplo, el defensor de Fargate supervisa el contenedor en ejecución para detectar cualquier instancia de cryptominers. Las instalaciones de cifrado malintencionadas son un ataque que hemos visto que se está convirtiendo en noticia más recientemente. Los atacantes buscan registros inseguros, descargan imágenes y agregan una capa de cryptominer sin testimonios de ansiedad social que la organización sepa. El atacante luego empuja esta imagen modificada de nuevo al registro. Las compañías confusas luego despliegan sus imágenes y ejecutan sin querer cryptominers para los atacantes. Este ataque es una forma fácil para que los atacantes ganen dinero sin tener que robar sus datos.

Por ejemplo, si su contenedor necesita acceder a una base de datos RDS u otro microservicio, debe asegurarse de que el contenedor solo alcance los síntomas de ataque de ansiedad en los hombres que desean el punto final. El acceso puede tener un ámbito basado en un nombre de host, dominio, dirección IP o red. Esto también evita que sus contenedores lleguen a puntos finales maliciosos, como los cdns que son conocidos por albergar malware o un servidor de comando y control de botnet.

Para proporcionar aún más protección de red para sus aplicaciones aprovechando fargate, twistlock ahora proporciona nuestro CNAF de capa 7 a través del defensor de fargate. Este firewall le permite proteger sus contenedores de una gran cantidad de ataques, como aquellos incluidos en el ataque de ansiedad OWASP que significa el top 10, que son difíciles de defender en un entorno nativo de nube.

Con un cortafuegos de aplicación nativo en la nube, los usuarios deben ponerlo lo más abajo posible. Esto difiere de un WAF tradicional que desea implementar lo más arriba posible. Con CNAF, twistlock protege los contenedores en su evento de red de superposición si alguien logra penetrar en su red. Con solo una definición de trastorno de ansiedad WAF tradicional dsm 5 implementada, sus servicios serían vulnerables a estos ataques. La defensa en profundidad es más fuerte cuando tienes ambas en su lugar. Anteriormente, hemos cubierto una inmersión completa en la funcionalidad CNAF. Cubriré la funcionalidad a un alto nivel aquí con una imagen que estoy implementando en el portal lejano.

Twistlock CNAF brinda protección contra los tipos de ataques que usted esperaría de una WAF tradicional: inyección SQL, secuencias de comandos entre sitios y falsificación de solicitudes del lado del cliente, entre muchas otras. Twistlock también te permite filtrar ataques según los valores del encabezado HTML, protege los formularios de carga de archivos para garantizar que solo se carguen los tipos de archivos autorizados, así como un conjunto completo de defensa de recopilación de inteligencia.

En las demostraciones, se nos pregunta regularmente cómo se implementan las políticas con el defensor de fargate. Las políticas son totalmente dinámicas y se crean dentro de nuestra consola central de twistlock o a través de las API en lugar de incrustarlas en sus imágenes. Este enfoque proporciona a los arquitectos de seguridad un control de cálculo de diseño de tanques anóxico sobre las aplicaciones que aprovechan fargate, en lugar de confiar en que los desarrolladores implementen adecuadamente una política o posiblemente la eliminen. Además, a medida que modifica la política a lo largo del tiempo, no es necesario reconstruir o volver a implementar sus imágenes. Conclusión

A medida que más compañías adoptan contenedores, los servicios de contenedores administrados o los contenedores bajo demanda se están convirtiendo en una opción prominente en la empresa. La seguridad para estos servicios es tan importante como los enfoques basados ​​en clústeres, incluso cuando no administra la máquina virtual. Twistlock reconoce la necesidad de una solución de seguridad de fácil despliegue y el defensor de puerta trasera proporciona una protección excepcional a través de la protección de procesos, el control de acceso a la red y el firewall de aplicaciones nativas de la nube. Ahora puede implementar la seguridad de su puerta de enlace de manera más eficiente que la de sus contenedores.