En una empresa,
la seguridad informática es importante en todos los niveles, desde los
cimientos de la infraestructura hasta las aplicaciones y servicios críticos orientados
al usuario final. Esta necesidad persiste independientemente de que la
tecnología sea estándar o de vanguardia. En pocas palabras, la seguridad
informática siempre es importante.
Para el software
de código abierto —que frecuentemente impulsa la innovación en las
organizaciones modernas en ámbitos como tecnologías Linux, nube híbrida,
contenedores y Kubernetes— este equilibrio entre la innovación, la seguridad y
la estabilidad es un aspecto significativo del valor agregado que puede ofrecer
una suscripción de Red Hat.
Las fallas de
seguridad pueden ocurrir en cualquier componente del software (o más allá del
software, como hemos aprendido este año con Meltdown
y Spectre en los procesadores).
Cuando ocurren, Red Hat está comprometido a entregar lo más rápido posible
tanto los parches para el cliente como las correcciones a los proyectos open source en desarrollo.
Hace algunos
días emitimos un Aviso de Seguridad crítico y parches para CVE-2018-1002105,
una falla en la escalada de privilegios que afecta a Kubernetes. Este caso es
un ejemplo de cómo Red Hat ayuda a enfrentar la seguridad de software tanto a
nivel de la comunidad como de la empresa, particularmente cuando organizaciones
de todo el mundo están buscando apoyarse en tecnologías emergentes como
Kubernetes para impulsar su transformación digital.
Kubernetes —el
componente estándar en la orquestación de contenedores de Linux— hace posible
orquestar aplicaciones contenerizadas en conjunto, habilitando servicios
compuestos formados por cientos o hasta miles de servicios más “sencillos”.
Estas aplicaciones orquestadas por lo general son más fáciles de gestionar, más
ágiles y simples de mantener que las aplicaciones tradicionales.
Pero Kubernetes,
como todo software, no es inmune a los problemas de seguridad. Esta falla hace posible
que cualquier usuario adquiera privilegios de administrador plenos en cualquier
nodo informático que se ejecute en un grupo de contenedores (pod) de Kubernetes. Esto es muy importante. Un atacante con estos privilegios no
sólo podría robar información confidencial o inyectar un código malicioso, sino
que también podría desbaratar aplicaciones y servicios de producción desde
dentro del firewall de una
organización.
Es importante
destacar que todos los servicios y productos basados en Kubernetes se ven
afectados, incluidos Red Hat OpenShift Container Platform, Red Hat OpenShift
Online y Red Hat OpenShift Dedicated. Red Hat ha comenzado a entregar parches y
ha impulsado actualizaciones de los servicios para los usuarios afectados, lo
cual les permite hacer frente a esta falla en forma inmediata o cuando mejor
les convenga según su nivel de riesgo específico. La información más detallada
de la falla en la escalada de privilegios de Kubernetes está disponible aquí.
Este parche es el resultado de los esfuerzos de la comunidad de
Kubernetes y de colaboradores líderes como Red Hat. Pero este acto de corregir
una falla de esta gravedad pone de manifiesto una realidad incómoda que el Vicepresidente
ejecutivo y presidente de productos y tecnologías Paul Cormier anunció hace pocos meses: Cuando se trata
de la seguridad del código abierto, el debate sobre producto versus proyecto es
importante, especialmente en los sistemas críticos para la misión.
Si bien la
comunidad de Kubernetes entregó el parche desarrollado a tiempo, puede que no resuelva
necesariamente los otros factores afectados por la falla. ¿Qué sucede si sus
sistemas de producción ejecutan puntos de integración o cargas de trabajo
especializados que se ven adversamente afectados por este parche? ¿O qué ocurre
si la aplicación del parche repercute inesperadamente en el rendimiento o,
incluso peor, provoca una interrupción del servicio?
Es aquí donde
los productos de código abierto
pueden distinguirse de los proyectos.
Red Hat posee décadas de experiencia en la provisión de productos open source,
desde el fortalecimiento del código en respuesta a los requerimientos de la
empresa hasta la entrega de parches para vulnerabilidades y fallas. Como
proveedor líder mundial de soluciones de código abierto, sabemos cómo corregir
esta clase de problemas, así como supimos cómo corregir Spectre, Meltdown, Dirty COW y una gran cantidad de fallas anteriores.
Parte de esta experiencia consiste en saber que no basta con proveer un parche. Necesitamos dotar a nuestros clientes de documentación y estrategias que les ayuden a evaluar cómo se ven afectados, qué sistemas han sido impactados y por qué (o incluso por qué no) deberían aplicar cada parche.
Esta es la expectativa que Red Hat estableció para sí, primero con Linux y ahora con Kubernetes de grado empresarial. A medida que Kubernetes se hace mucho más presente en las empresas que persiguen la transformación digital, es lógico pensar que se irán descubriendo más fallas en la tecnología. La comunidad estará preparada para corregir el código y Red Hat estará preparada para ayudarlo a restablecer sus sistemas críticos de la manera que mejor se ajuste a las necesidades particulares de su organización.