Dentro de DevOps, Kubernetes se ha convertido en la herramienta de orquestación de facto para contenedores, lo que permite a las organizaciones implementar y administrar sus aplicaciones de manera eficiente. Según los encuestados de CNCF, el 96% de las organizaciones están utilizando o evaluando Kubernetes, un récord desde que comenzaron sus encuestas en 2016. Con esta creciente adopción, garantizar la seguridad de las implementaciones de Kubernetes es primordial. Los controladores de entrada desempeñan un papel crucial en el enrutamiento del tráfico externo a los servicios dentro de un clúster. Asegurar estos Ingress Controllers con certificados SSL / TLS es esencial para proteger la confidencialidad e integridad de los datos transmitidos a través de las redes.
En este blog, exploraremos las razones por las que es importante proteger los controladores de entrada de Kubernetes con certificados SSL/TLS y cómo la integración Atlas-ACME de GlobalSign protege los controladores de entrada de Kubernetes.
La política de enrutamiento de entrada de Kubernetes rige la forma en que los usuarios pueden enrutar el tráfico externo a los servicios dentro de los clústeres. A través de un simple equilibrador de carga, un cliente puede implementar las reglas de enrutamiento para configurar la infraestructura que se ha definido en el clúster para que se enrute a los servicios en consecuencia.
Por qué se debería proteger los controladores de entrada con certificados SSL / TLS
- Comunicación cifrada: Los certificados SSL / TLS proporcionan cifrado, garantizando que los datos transmitidos entre los clientes y los controladores de entrada sigan siendo confidenciales. De este modo se evitan los ataques de intermediario y se reduce el riesgo de que se intercepte o ponga en peligro información confidencial.
- Integridad de los datos: Los certificados SSL / TLS permiten la comprobación de la integridad, protegiendo contra la manipulación y los ciberataques, y garantizando que los datos permanezcan seguros durante el tránsito. Al verificar la autenticidad e integridad de la comunicación, las organizaciones pueden confiar en los datos que se intercambian entre clientes y servicios.
- Autenticación: Los certificados permiten la autenticación de clientes y servidores, estableciendo la confianza y evitando el acceso no autorizado al clúster Kubernetes. Esto mitiga el riesgo de que entidades malintencionadas intercepten o modifiquen los datos.
- Requisitos de conformidad: Las regulaciones de la industria, como el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) y el Reglamento General de Protección de Datos (GDPR), exigen el uso de certificados SSL / TLS para proteger datos confidenciales. Proteger los controladores de entrada con certificados digitales permite a las organizaciones cumplir estos requisitos de conformidad.
Muchos desarrolladores utilizan certificados SSL / TLS autofirmados para entornos de desarrollo o pruebas. Estos certificados se generan utilizando herramientas de código abierto como OpenSSL. Sin embargo, al no estar firmados por una autoridad certificadora (CA) de confianza, no son conformes y podrían plantear riesgos para el entorno.
Lea nuestro blog sobre los riesgos asociados a los certificados autofirmados
Cómo la plataforma de identidad digital de GlobalSign, Atlas, protege los controladores de entrada de Kubernetes
Como CA de confianza pública, GlobalSign recomienda el uso de certificados digitales conformes para entornos de desarrollo, pruebas y producción. GlobalSign ofrece tres soluciones diferentes para proteger los controladores de entrada de Kubernetes mediante Atlas.
1. Integración Atlas-ACME:
Mediante el protocolo ACME (utilizando validación HTTP o DNS), Atlas emite certificados digitales rápidos y escalables para tu entorno DevOps.
2. Atlas - Plugin HashiCorp Vault
Utiliza la integración HashiCorp Vault de GlobalSign para emitir certificados digitales sin complicaciones. El plugin gestiona y asegura todas las claves y secretos de la API.
3. Plugin Atlas-Certmanager
La integración de Atlas de GlobalSign con Certmanager permite acceder a las API de Atlas desde el repositorio de GitHub para simplificar los requisitos de emisión de certificados en Kubernetes.
La automatización de las canalizaciones de DevSecOps con plug-ins e integraciones ayuda a aliviar la carga de la intervención manual en la seguridad de las canalizaciones de DevSecOps.
Para obtener más información sobre nuestras soluciones automatizadas para proteger tu cadena de herramientas DevOps, entra en contacto con nosotros hoy mismo.