Canal de Telegram

1 feb 2023

Segu-Info » , » Auditoría de Kubernetes con Wazuh

Auditoría de Kubernetes con Wazuh

1 feb 2023, 2:38:00 p.m.   Comenta primero!
  ,  

La tecnología de contenedores ha ganado terreno entre las empresas debido a la mayor eficiencia que proporciona. En este sentido, las organizaciones utilizan ampliamente Kubernetes para implementar, escalar y administrar aplicaciones en contenedores.

Las organizaciones deben auditar Kubernetes para garantizar el cumplimiento de las normas, encontrar anomalías e identificar riesgos de seguridad. La plataforma de código abierto de Wazuh juega un papel fundamental en el monitoreo de Kubernetes y otros componentes de la infraestructura de una organización.

¿Qué es Kubernetes?

Kubernetes es una solución de gestión de contenedores de código abierto que automatiza la implementación y el escalado de contenedores y también gestiona el ciclo de vida de los mismos. Organiza los contenedores en unidades lógicas para una gestión y un descubrimiento sencillos. Kubernetes amplía la forma en que escalamos las aplicaciones en contenedores para que podamos usar una infraestructura verdaderamente persistente.

Se pueden crear aplicaciones nativas de la nube basadas en microservicios con Kubernetes. Los entusiastas ven a Kubernetes como la piedra angular de la modernización de aplicaciones. Permite la contenedorización de las aplicaciones actuales, lo que permite a los desarrolladores crear aplicaciones rápidamente.

La complejidad de ejecutar programas crece cuando se distribuyen en varios servidores y contenedores. Para manejar esta complejidad, Kubernetes ofrece una API de código abierto que administra dónde y cómo se ejecutarán esos contenedores. Kubernetes incorpora balanceo de carga, controla el descubrimiento de servicios, realiza un seguimiento de la asignación de recursos y escala según el uso de cómputo. Además, evalúa la condición de cada recurso y brinda a los programas la capacidad de auto-arreglarse replicando contenedores o reiniciándolos automáticamente.

¿Qué es Wazuh?

Wazuh es una plataforma XDR y SIEM unificada de código abierto. Es comercialmente gratuito y tiene más de 10 millones de descargas anuales.

El indexador de Wazuh es un motor de análisis y búsqueda de texto completo altamente escalable. El indexador almacena los registros de auditoría de Kubernetes para brindar capacidades de análisis y búsqueda de datos en tiempo real. El indexador de Wazuh aumenta la eficiencia durante la investigación de un incidente cuando necesita recuperar datos relevantes de los registros de auditoría.

Wazuh cuenta con una gran comunidad de usuarios que se apoyan entre sí y ayudan a mejorar el producto. Puede unirse a la comunidad de Wazuh para contribuir con el producto y solicitar soporte para cualquier problema que pueda tener.

Auditoría de Kubernetes

Existen varias políticas que las organizaciones deben cumplir, dependiendo de la jurisdicción y el sector en el que operen. Algunas de estas políticas mejoran la resiliencia cibernética de la infraestructura de TI, por ejemplo, PCI DSS y GDPR. El clúster de Kubernetes es parte de la infraestructura de TI y las organizaciones deben asegurarse de cumplir con las políticas y las mejores prácticas de seguridad cuando corresponda.

Uno de los requisitos que aparecen en la mayoría de los documentos de políticas de TI es la política de retención de registros que dictan cuánto tiempo debe almacenar los registros. Se pueden usar estos registros para identificar amenazas durante el monitoreo activo y la investigación de incidentes.

Los administradores interactúan con el clúster de Kubernetes a través de la API de Kubernetes, y el clúster puede registrar todas las solicitudes y respuestas de la API. Se puede detectar llamadas API inusuales o no deseadas desde los registros de auditoría de Kubernetes y se puede recibir alertas para eventos como errores de autenticación, creación, modificación y eliminación de contenedores.

Por ejemplo, la función de registro de auditoría de Kubernetes está deshabilitada de forma predeterminada y por lo tanto, debe seguir algunos pasos necesarios para encenderlo.

Uso de Wazuh para monitorear y archivar registros de auditoría de Kubernetes

Se debe monitorear los registros de auditoría para detectar amenazas y anomalías de seguridad. Además, se debe indexar los registros para buscar información relevante durante la investigación de un incidente. Wazuh supervisa, almacena e indexa los registros de auditoría de Kubernetes. 

El equipo de desarrollo de Wazuh tiene una guía detallada sobre cómo auditar Kubernetes con Wazuh, entre ellos destaca:

  • Configurar el servidor de Wazuh para recibir y procesar los registros de auditoría de Kubernetes.
  • Habilitar los registros de auditoría en el clúster de Kubernetes y reenviarlos al servidor de Wazuh.
  • Crear reglas personalizadas para activar alertas cuando Wazuh detecta eventos específicos en el registro de auditoría de Kubernetes. Por ejemplo, puede crear reglas para activar alertas cuando se crean o eliminan recursos en el clúster de Kubernetes.
  • Configurar Wazuh para mostrar todos los registros archivados en el tablero. Estos son registros de eventos de Kubernetes que no activaron una alerta.

Fuente: THN

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!