La seguridad de las imágenes de contenedores es un aspecto crucial en Kubernetes, ya que las imágenes son la base de las aplicaciones que se ejecutan en los clústeres. Asegurar que las imágenes sean seguras y libres de vulnerabilidades es esencial para mantener la integridad y la seguridad de todo el entorno de Kubernetes.

1. Imágenes de Contenedores: Son paquetes que contienen todo lo necesario para ejecutar una aplicación, incluyendo el código, las bibliotecas y las dependencias.
2. Registro de Imágenes: Un repositorio donde se almacenan y gestionan las imágenes de contenedores.
3. Escaneo de Vulnerabilidades: Proceso de analizar las imágenes en busca de vulnerabilidades conocidas.
4. Firmas de Imágenes: Método para verificar la autenticidad e integridad de una imagen.
5. Políticas de Seguridad de Imágenes: Reglas y directrices para asegurar que solo se utilicen imágenes seguras y aprobadas.

• Descripción: Utiliza imágenes oficiales de fuentes confiables como Docker Hub, Red Hat, o Google Container Registry.
• Ejemplo:

  apiVersion: v1
  kind: Pod
  metadata:
    name: myapp
  spec:
    containers:
    - name: myapp-container
      image: nginx:latest
  

• Descripción: Escanea regularmente las imágenes en busca de vulnerabilidades conocidas utilizando herramientas como Clair, Trivy o Anchore.
• Ejemplo:

  trivy image nginx:latest
  

• Descripción: Firma las imágenes para asegurar su integridad y autenticidad. Utiliza herramientas como Notary o Cosign.
• Ejemplo:

  cosign sign --key cosign.key docker.io/nginx:latest
  cosign verify --key cosign.pub docker.io/nginx:latest
  

• Descripción: Implementa políticas para asegurar que solo se utilicen imágenes aprobadas y seguras. Utiliza herramientas como Open Policy Agent (OPA) o Kyverno.
• Ejemplo:

  apiVersion: kyverno.io/v1
  kind: ClusterPolicy
  metadata:
    name: require-trusted-repo
  spec:
    rules:
    - name: require-trusted-repo
      match:
        resources:
          kinds:
          - Pod
      validate:
        message: "Images must be from a trusted repository"
        pattern:
          spec:
            containers:
            - image: "trusted-repo/*"
  

• Descripción: Utiliza imágenes base mínimas y solo incluye las dependencias necesarias para reducir la superficie de ataque.
• Ejemplo:

  FROM alpine:3.12
  RUN apk add --no-cache python3
  COPY . /app
  CMD ["python3", "/app/main.py"]
  

1. Objetivo: Escanear una imagen de contenedor en busca de vulnerabilidades.
2. Instrucciones:
   • Instala Trivy en tu máquina local.
   • Escanea la imagen nginx:latest utilizando Trivy.
3. Código:

   trivy image nginx:latest
   

4. Solución:
   • El comando anterior escaneará la imagen nginx:latest y mostrará un reporte de vulnerabilidades.

1. Objetivo: Crear una política de seguridad que solo permita imágenes de un repositorio confiable.
2. Instrucciones:
   • Instala Kyverno en tu clúster de Kubernetes.
   • Aplica la política de seguridad proporcionada en el ejemplo anterior.
3. Código:

   apiVersion: kyverno.io/v1
   kind: ClusterPolicy
   metadata:
     name: require-trusted-repo
   spec:
     rules:
     - name: require-trusted-repo
       match:
         resources:
           kinds:
           - Pod
       validate:
         message: "Images must be from a trusted repository"
         pattern:
           spec:
             containers:
             - image: "trusted-repo/*"
   

4. Solución:
   • Aplica la política utilizando kubectl apply -f policy.yaml.
   • Intenta desplegar un Pod con una imagen no confiable y verifica que la política lo bloquea.

La seguridad de las imágenes es un componente esencial en la administración de Kubernetes. Al seguir las prácticas recomendadas, como usar imágenes de confianza, escanear vulnerabilidades, firmar imágenes y aplicar políticas de seguridad, puedes asegurar que tus aplicaciones se ejecuten en un entorno seguro y protegido. En el próximo módulo, exploraremos el escalado y rendimiento en Kubernetes, donde aprenderás a optimizar y escalar tus aplicaciones de manera eficiente.