Análisis de contenedores en busca de vulnerabilidades con OpenSCAP y Podman

Una de las principales ventajas de los contenedores es que el software que los compone está separado del sistema en el que se ejecuta. El software contenedor se coloca en una imagen contenedora que se puede distribuir y ejecutar fácilmente. Sin embargo, desde una perspectiva de seguridad, esto puede ser un desafío, ya que muchas utilidades de software de análisis de cumplimiento de seguridad se enfocan solo en el sistema host y potencialmente pasan por alto cualquier problema de seguridad que pueda estar presente en los contenedores del sistema. Por ejemplo, si una imagen de contenedor contiene un paquete desactualizado y vulnerable, muchas utilidades de análisis de cumplimiento fallarían si solo miraran los paquetes instalados en el host.

Es importante que las imágenes de los contenedores estén actualizadas con las actualizaciones de seguridad y que las imágenes de los contenedores también cumplan con los estándares de seguridad requeridos. Sin una forma eficiente de analizar y evaluar imágenes de contenedores, es fácil encontrarse en una situación en la que ejecuta contenedores con versiones de software obsoletas y vulnerables, o contenedores con configuraciones que no cumplen con sus requisitos y estándares de seguridad.

Red Hat Enterprise Linux (RHEL) 8.2 introdujo la oscap-podman utilidad, que le permite escanear imágenes de contenedores utilizando OpenSCAP y Podman. Esta utilidad puede verificar si faltan avisos en una imagen de contenedor y evaluar el cumplimiento de seguridad de una imagen de contenedor frente a un punto de referencia como PCI-DSS.

Hace poco publiqué un video, Análisis de contenedores en busca de vulnerabilidades en RHEL 8.2 con OpenSCAP y Podman, que cubre esta nueva utilidad y muestra cómo usarla.

El video cubre los siguientes temas:

  • Análisis de imágenes de contenedores para vulnerabilidades con oscap-podman
  • Evaluar el cumplimiento de seguridad de una imagen de contenedor con la línea de base PCI-DSS con oscap-podman
  • Uso de Buildah, una de las herramientas de contenedores de Red Hat, para crear una nueva imagen con uno de los resultados fijos de OpenSCAP

Si está ejecutando contenedores en su entorno y quiere hacerlo de forma más segura, pruebe el oscap-podman utilidad. Además del video, también hay documentación que cubre escanear el sistema en busca de vulnerabilidades y cumplimiento de configuración, que cubre oscap-podman en los Artículos 6.10 y 6.11.

Artículos de interés

Subir