IBM: Protéjase de los malos vecinos en la nube

Loading

La computación de nube le ha dado a las empresas la libertad de adaptar de manera flexible sus necesidades computacionales al momento. Las cargas de trabajo contenerizadas, como resultado, se han convertido en la nueva norma, con proveedores de soluciones cloud abarrotando tantos containers como les resulta posible sobre en un cluster para maximizar la eficiencia.

El incremento de la densidad ha ayudado a bajar costos, pero hace a los conteiners  más vulnerables a los ataques maliciosos a través de los hosts compartidos. Tanto como la posibilidad de toparse con un mal vecino aumenta en un edificio abarrotado, el mismo principio se aplica a los cluster de computación llenos de unidades de conteiners.

Su unidad puede ser segura, pero si un vecino compromete el host kernel de manera causal o intencionada, puede abrir la puerta a ataques a todos los que estén alojados en dicha ubicación.

Las llamadas al sistema proveen una apertura relativamente fácil para “malos vecinos” que exploten las debilidades en el host kernel y logren acceso a unidades vecinas del container. El reciente ataque “Dirty Pipe”, y el “Dirty Cow” exploit, usaron sistemas vulnerables de llamada para reescribir archivos de acceso, dando a los atacantes ingreso privilegiado a información en otras unidades.

Para minimizar el impacto de ataques similares, IBM ha diseñado un esquema programado de atención en seguridad para Kubernetes llamado SySched, que coloca a las unidades en nodos de procesamiento dedicados basados en su perfil de uso del sistema de llamadas. La colocación estratégica de las unidades puede minimizar su exposición a llamadas extrañas del sistema en un host que puede ser explotado por malos vecinos. La programación de atención a la seguridad aísla las unidades riesgosas y disminuye los peligros en el cluster.

Hemos discutido este trabajo en un nuevo estudio en la Conferencias Asia ACM sobre Seguridad de Cómputo y Comunicaciones. Los esquemas de seguridad como seccomp de Linux son necesarios, pero no van lo suficientemente lejos para proteger a la unidad. Con la colocación de las unidades basadas en el uso de sus sistemas de llamada, se puede limitar la extensión de los ataques.

En nuestra investigación, encontramos que casi un 40% menos unidades, y un tercio menos de nodos de procesamiento se verían impactados por un ataque potencial usando SySched sobre el programador de Kubernetes. Esto significa que un ataque exitoso encontrará muchas menos unidades a su merced.

Les estaremos informando con mucho más detalle, en el marco del informe especial: “Soluciones de valor de Cloud Computing y Arquitecturas de IA, Machine Learning, Deep Learning, con innovadores modelos de negocio, soluciones de IOT, soluciones de Automatización del hogar y soluciones de automatización de oficina. Infraestructura física, Cableado y gestión de cableado estructurado, infraestructura de conectividad: redes LAN, Wifi, etc y Buenas prácticas corporativas”, que estamos preparando para nuestra edición 205 y publicaremos en el mes de julio.

Mantente conectado a nuestra revista Channel News Perú, haciendo clic aquí y suscribiéndote a nuestro newsletter para contenido de valor diario.

Notas Relacionadas