Una gran cantidad de empresas se está haciendo a un lado el uso de tecnología de contenedores por sus beneficios probados: sustanciales mejoras en la escalabilidad de las aplicaciones, una considerable reducción de errores en el despliegue de infraestructuras, procesos “time-to-market” optimizados, simplificación en la gestión de las aplicaciones, entre otras ventajas.
Hay muchas razones por las que la visibilidad y el control constituyen aspectos críticos para la seguridad de los contenedores.
Algunos de los proveedores de contenedores más destacados del panorama TI como Dockers o Red Hat tratan de transmitir tranquilidad al mercado en los aspectos que rodean a la seguridad de sus tecnologías. El pasado agosto, Docker suministró Docker Content Trust como parte de la release Docker 1.8, el cual emplea mecanismos de encriptación para asegurar que tanto el código como las versiones que corren sobre las infraestructuras de software de Docker son tareas que se realizan de forma segura. La idea de la encriptación no es otra que proteger a los usuarios de Docker frente a la existencia de puertas traseras maliciosas, así como otras amenazas potenciales.
Docker Content Trust se focaliza en la integridad de los contenidos que se desplazan en el interior de los contenedores de Docker. La firma criptográfica de las imágenes suministradas en Docker, un procedimiento empleado también en el desarrollo del kernel de Linux y en multitud de sistemas embebidos y OEMs, se lleva a cabo para asegurar que solo las imágenes firmadas son las que se pueden arrancar.
Sin embargo, este aspecto no es el único que preocupa en seguridad a los usuarios de contenedores. También está el tema de asegurar que el código que contiene la imagen está libre de vulnerabilidades. Si las organizaciones no pueden mantener sus pilas de software y sus portafolios de aplicaciones desprovistos del conocimiento que contienen, algunas versiones de código abierto ejecutable solo pueden asegurar que las medidas de solución del problema lo arreglan a medias.
Sin un mecanismo que garantice la higiene del código abierto, estas herramientas solo podrán asegurar que las imágenes de Docker contienen exactamente el mismo número de bits que los desarrolladores originalmente depositaron en un contenedor en concreto, incluyendo cualquier tipo de vulnerabilidad que pudiera estar presente en los componentes de código abierto depositados.
-Marga Verdú
