Seguridad de Contenedores
Prácticas y herramientas para asegurar contenedores en todo su ciclo de vida: construcción de imágenes, runtime, orquestación y cumplimiento.
seed#security#containers#docker#scanning#runtime#compliance
¿Qué es?
La seguridad de contenedores abarca las prácticas para proteger aplicaciones containerizadas en todo su ciclo de vida: desde la construcción de imágenes hasta la ejecución en producción.
Capas de seguridad
Imagen
- Usar imágenes base oficiales y mínimas
- Escanear vulnerabilidades (Trivy, Snyk, ECR scanning)
- No incluir secretos en imágenes
- Multi-stage builds para reducir superficie de ataque
Build
- Firmar imágenes (cosign)
- Verificar procedencia (SLSA)
- CI/CD gates que bloquean imágenes vulnerables
Runtime
- No ejecutar como root
- Read-only filesystem cuando sea posible
- Limitar capabilities del kernel
- Network policies para aislar tráfico
Orquestación
- RBAC en Kubernetes
- Pod Security Standards
- Secrets management (no en variables de entorno planas)
- Admission controllers para políticas
Herramientas
| Herramienta | Función |
|---|---|
| Trivy | Escaneo de vulnerabilidades |
| Falco | Detección de amenazas runtime |
| OPA/Gatekeeper | Políticas de admisión |
| cosign | Firma de imágenes |
¿Por qué importa?
Los contenedores no son seguros por defecto. Imágenes con vulnerabilidades conocidas, ejecución como root y secretos embebidos son errores comunes que convierten contenedores en vectores de ataque. La seguridad de contenedores debe ser parte del pipeline, no una revisión posterior.
Referencias
- NIST Container Security Guide — SP 800-190.
- Container Security Best Practices — Sysdig, 2024. Guía práctica de seguridad de contenedores.
- Dockerfile Best Practices — Docker, 2024. Mejores prácticas para imágenes seguras.