Español 
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
Por fin hay una manera de mejorar la seguridad de Cloud Container Registry
Lily Hay Newman
A medida que los ataques a la cadena de suministro de software se han convertido en una amenaza cotidiana, donde los malos actores envenenan un paso en el proceso de desarrollo o distribución, la industria tecnológica ha recibido una llamada de atención sobre la necesidad de proteger cada eslabón de la cadena. Pero en realidad implementar mejoras es un desafío, particularmente para el ecosistema de desarrollo de nube de código abierto en expansión. Ahora, la firma de seguridad Chainguard dice que tiene una solución más segura para un componente ubicuo pero pasado por alto durante mucho tiempo.
Los "registros de contenedores" son algo así como tiendas de aplicaciones o cámaras de compensación donde los desarrolladores cargan "imágenes" de contenedores en la nube, cada uno de los cuales contiene un programa de software diferente. Los servicios en la nube que usa todos los días navegan constante y silenciosamente por los registros de contenedores para acceder a las aplicaciones, pero estos registros a menudo están mal protegidos con solo una contraseña que se puede perder, robar o adivinar. Esto a menudo significa que las personas que no deberían tener acceso a una imagen de contenedor determinada pueden descargarla o, lo que es peor, pueden cargar imágenes en el registro que podrían ser maliciosas. El nuevo registro de imágenes de contenedores de Chainguard tiene como objetivo tapar este agujero esotérico pero generalizado.
"Casi todas las cosas malas posibles han sucedido con los registros de contenedores que pueda imaginar", dice Dan Lorenc, director ejecutivo de Chainguard e investigador de seguridad de la cadena de suministro de software desde hace mucho tiempo. "Personas que pierden contraseñas, personas que introducen malware a propósito, personas que se olvidan de actualizar cosas. La industria simplemente ha estado usando esto durante mucho tiempo, todos se estaban divirtiendo, enviando código, y nadie estaba pensando en las consecuencias a largo plazo".
Los investigadores de Chainguard dicen que durante mucho tiempo han considerado desarrollar un registro más cuidadosamente diseñado, en particular uno que elimine las contraseñas y, en su lugar, utilice un enfoque de inicio de sesión único para controlar el acceso al registro. De esa manera, se puede diseñar un registro para que sea tan accesible o tan bloqueado como sea necesario, y solo las personas que hayan iniciado sesión en otras cuentas, como servicios de identidad corporativa o cuentas de Google, y que luego estén específicamente autorizadas, podrán interactuar con el registro.
"Los registros de contenedores han sido un eslabón débil", dice Jason Hall, ingeniero de software de Chainguard. "Son bastante aburridos, bastante estándar. Este es un software que depende del software para entregar el software. Necesitamos hacerlo mejor y deshacernos de las contraseñas para hablar con el registro y poder ingresar al registro".
Sin embargo, la gran limitación para implementar un sistema como este ha sido el costo. La ejecución de un registro de contenedores suele ser muy costosa debido a las "tarifas de salida". En otras palabras, los proveedores de la nube no cobran a los clientes empresariales por cargar datos en la nube, pero sí les cobran cada vez que alguien descarga los datos. Entonces, si los registros de contenedores son como una tienda de aplicaciones donde todos vienen a descargar imágenes de contenedores, las tarifas de salida pueden aumentar mucho, muy rápido. Este trabajo desincentivó la revisión de la seguridad de los registros de contenedores, porque nadie quería asumir el costo asociado con ofrecer una alternativa más segura.
jeremy blanco
kate knibbs
Personal CABLEADO
Estefanía McNeal
El gran avance para Chainguard se produjo cuando la empresa de infraestructura de Internet Cloudflare anunció la disponibilidad general de su servicio R2 Storage en septiembre. El objetivo del producto es ofrecer tarifas de salida reducidas a los clientes de Cloudflare e incluso ninguna tarifa por los datos que se descargan con poca frecuencia. Una vez que R2 surgió como una opción, los investigadores de Chainguard tenían todo lo que necesitaban para avanzar con un registro más seguro.
Aly Cabral, vicepresidenta de administración de productos para trabajadores de Cloudflare, dice que, como red de entrega de contenido, la empresa puede ofrecer un servicio como R2 porque ya ha invertido mucho en optimizar sus sistemas para administrar y mover datos en todo el mundo de manera eficiente. . Y señala que las tarifas de salida son problemáticas en varias áreas, no solo en el desarrollo de software en la nube. Por ejemplo, las empresas de IA necesitan cada vez más formas de mover sus conjuntos de datos de entrenamiento a diferentes regiones y plataformas para encontrar el poder de procesamiento de la GPU.
Sin embargo, cuando se trata de crear registros en la nube más seguros, Cabral dice que la iniciativa de Chainguard es exactamente el tipo de proyecto que Cloudflare esperaba respaldar con R2.
"El trabajo de Chainguard para repensar la infraestructura clave de entrega de software, como los registros de contenedores, y garantizar que se construya con los principios de diseño seguro que necesita el ecosistema, es el tipo de atención proactiva que ayudará a prevenir ataques maliciosos", dice. "Con demasiada frecuencia, la seguridad es una idea de último momento, lo que puede ser perjudicial a medida que los actores de amenazas se vuelven cada vez más sofisticados y expertos en su capacidad para explotar las medidas de seguridad deficientes".
Chainguard utilizará su registro seguro para distribuir imágenes y también pondrá a disposición el diseño del registro para que otros puedan adoptarlo. Para los usuarios habituales de la web, el cambio será invisible, pero podría evitar las consecuencias de los ataques a la cadena de suministro de software que pueden, y tienen, impactos tangibles en la vida de las personas.