Auditoría de Kubernetes con SIEM y XDR de código abierto


01 de febrero de 2023Las noticias del hackerSIEM/Kubernetes

La tecnología de contenedores ha ganado terreno entre las empresas debido a la mayor eficiencia que proporciona. En este sentido, las organizaciones utilizan ampliamente Kubernetes para implementar, escalar y administrar aplicaciones en contenedores. Las organizaciones deben auditar Kubernetes para garantizar el cumplimiento de las normas, encontrar anomalías e identificar riesgos de seguridad. La plataforma de código abierto de Wazuh juega un papel fundamental en el monitoreo de Kubernetes y otros componentes de la infraestructura de una organización.

¿Qué es Kubernetes?

Kubernetes es una solución de gestión de contenedores de código abierto que automatiza la implementación y el escalado de contenedores y también gestiona el ciclo de vida de los contenedores. Organiza los contenedores en unidades lógicas para una gestión y un descubrimiento sencillos. Kubernetes amplía la forma en que escalamos las aplicaciones en contenedores para que podamos usar una infraestructura verdaderamente persistente.

Puede crear aplicaciones nativas de la nube basadas en microservicios con Kubernetes. Los entusiastas ven a Kubernetes como la piedra angular de la modernización de aplicaciones. Permite la contenedorización de las aplicaciones actuales, lo que permite a los desarrolladores crear aplicaciones rápidamente.

La complejidad de ejecutar programas crece cuando se distribuyen en varios servidores y contenedores. Para manejar esta complejidad, Kubernetes ofrece una API de código abierto que administra dónde y cómo se ejecutarán esos contenedores. Kubernetes incorpora balanceo de carga, controla el descubrimiento de servicios, realiza un seguimiento de la asignación de recursos y escala según el uso de cómputo. Además, evalúa la condición de cada recurso y brinda a los programas la capacidad de auto-arreglarse replicando contenedores o reiniciándolos automáticamente.

Auditoría de Kubernetes

Existen varias políticas que las organizaciones deben cumplir, dependiendo de la jurisdicción y el sector en el que operen. Algunas de estas políticas mejoran la resiliencia cibernética de la infraestructura de TI, por ejemplo, PCI DSS y GDPR. El clúster de Kubernetes es parte de la infraestructura de TI y las organizaciones deben asegurarse de cumplir con las políticas y las mejores prácticas de seguridad cuando corresponda.

Uno de los requisitos que aparecen en la mayoría de los documentos de políticas de TI es la política de retención de registros. Las políticas de retención de registros dictan cuánto tiempo debe almacenar los registros. Puede usar estos registros para identificar amenazas durante el monitoreo activo y la investigación de incidentes.

Los administradores interactúan con el clúster de Kubernetes a través de la API de Kubernetes, y el clúster puede registrar todas las solicitudes y respuestas de la API. Puede detectar llamadas API inusuales o no deseadas desde los registros de auditoría de Kubernetes. Más detalladamente, puede recibir alertas para eventos como errores de autenticación, creación, modificación y eliminación de contenedores. La función de registro de auditoría de Kubernetes está deshabilitada de forma predeterminada. Por lo tanto, debe seguir algunos pasos necesarios para encenderlo.

Uso de Wazuh para monitorear y archivar registros de auditoría de Kubernetes

Debe monitorear los registros de auditoría para detectar amenazas y anomalías de seguridad. Además, debe indexar los registros para buscar información relevante durante la investigación de un incidente. Wazuh supervisa, almacena e indexa los registros de auditoría de Kubernetes. Wazuh es una plataforma XDR y SIEM unificada de código abierto. Es comercialmente gratuito y tiene más de 10 millones de descargas anuales.

El equipo de desarrollo de Wazuh tiene una guía detallada sobre auditando Kubernetes con Wazuh. La guía detalla los pasos sobre cómo hacer lo siguiente:

  • Configure el servidor de Wazuh para recibir y procesar los registros de auditoría de Kubernetes.
  • Habilite los registros de auditoría en el clúster de Kubernetes y reenvíelos al servidor de Wazuh.

Puede crear reglas personalizadas para activar alertas cuando Wazuh detecta eventos específicos en el registro de auditoría de Kubernetes. Por ejemplo, puede crear reglas para activar alertas cuando se crean o eliminan recursos en el clúster de Kubernetes.

SIEM y XDR
Figura 1: Alertas activadas desde los registros de auditoría de Kubernetes en el panel de control de Wazuh

Puede configurar Wazuh para mostrar todos los registros archivados en el tablero. Estos son registros de eventos de Kubernetes que no activaron una alerta.

SIEM y XDR
Figura 2: archivo de registro de auditoría de Kubernetes en el panel de control de Wazuh

El indexador de Wazuh es un motor de análisis y búsqueda de texto completo altamente escalable. El indexador indexa y almacena los registros de auditoría de Kubernetes para brindarle capacidades de análisis y búsqueda de datos en tiempo real. El indexador de Wazuh aumenta la eficiencia durante la investigación de un incidente cuando necesita recuperar datos relevantes de los registros de auditoría.

Resumen

Kubernetes se usa ampliamente para implementar, escalar y administrar aplicaciones. Debe mantener registros de auditoría de Kubernetes por motivos de seguridad y cumplimiento. Los registros de auditoría contienen datos que pueden indicar actividades inusuales o no deseadas. Wazuh es una solución XDR y SIEM de código abierto que supervisa, archiva y consulta los registros de auditoría de Kubernetes para identificar amenazas de seguridad y otras anomalías. Wazuh también protege otros componentes de una infraestructura de TI, incluidos los terminales y las cargas de trabajo en la nube.

Wazuh cuenta con una gran comunidad de usuarios que se apoyan entre sí y ayudan a mejorar el producto. Puedes unirte a la comunidad wazuh para contribuir con el producto y solicitar soporte para cualquier problema que pueda tener.

¿Encontraste este artículo interesante? Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57