## A Revolução dos Containers e a Segurança na Nuvem: O Papel da Inteligência Artificial
No início dos anos 2000, a chegada de processadores mais potentes com suporte de hardware para virtualização deu início a uma revolução na computação, que culminou no que hoje chamamos de nuvem. Com instâncias de hardware únicas capazes de executar dezenas, senão centenas, de máquinas virtuais simultaneamente, as empresas puderam oferecer aos seus usuários múltiplos serviços e aplicações que, de outra forma, seriam financeiramente impraticáveis, se não impossíveis.
No entanto, as máquinas virtuais (VMs) têm várias desvantagens. Frequentemente, um sistema operacional virtualizado inteiro é exagerado para muitas aplicações e, embora muito mais maleáveis, escaláveis e ágeis do que uma frota de servidores bare-metal, as VMs ainda exigem significativamente mais memória e poder de processamento, e são menos ágeis do que a próxima evolução desse tipo de tecnologia – os containers. Além de serem mais facilmente escalados (para cima ou para baixo, de acordo com a demanda), as aplicações containerizadas consistem apenas nas partes necessárias de uma aplicação e suas dependências de suporte. Portanto, os aplicativos baseados em microsserviços tendem a ser mais leves e facilmente configuráveis.
As máquinas virtuais exibem os mesmos problemas de segurança que afetam suas contrapartes bare-metal e, em certa medida, os problemas de segurança dos containers refletem os de suas partes componentes: um bug mySQL em uma versão específica da aplicação upstream afetará também as versões containerizadas. No que diz respeito a VMs, instalações bare metal e containers, as preocupações e atividades de segurança cibernética são muito semelhantes. Mas as implementações de containers e suas ferramentas trazem desafios de segurança específicos para aqueles encarregados de executar aplicativos e serviços, seja montando manualmente aplicações com containers de escolha ou executando em produção com orquestração em escala.
### Riscos de segurança específicos do container
* **Má configuração:** Aplicações complexas são compostas por vários containers, e a má configuração – geralmente apenas uma única linha em um arquivo .yaml – pode conceder privilégios desnecessários e aumentar a superfície de ataque. Por exemplo, embora não seja trivial para um invasor obter acesso root à máquina host a partir de um container, ainda é uma prática comum executar o Docker como root, sem o remapeamento do namespace do usuário, por exemplo.
* **Imagens de container vulneráveis:** Em 2022, a Sysdig encontrou mais de 1.600 imagens identificadas como maliciosas no Docker Hub, além de muitos containers armazenados no repositório com credenciais de nuvem, chaves SSH e tokens NPM codificados. O processo de extração de imagens de registros públicos é opaco, e a conveniência da implantação de containers (além da pressão sobre os desenvolvedores para produzir resultados rapidamente) pode significar que os aplicativos podem ser facilmente construídos com componentes inerentemente inseguros ou até mesmo maliciosos.
* **Camadas de orquestração:** Para projetos maiores, ferramentas de orquestração como o Kubernetes podem aumentar a superfície de ataque, geralmente devido à má configuração e altos níveis de complexidade. Uma pesquisa de 2022 da D2iQ descobriu que apenas 42% das aplicações em execução no Kubernetes chegaram à produção – em parte devido à dificuldade de administrar grandes clusters e uma curva de aprendizado acentuada.
De acordo com Ari Weil, da Akamai, "o Kubernetes é maduro, mas a maioria das empresas e desenvolvedores não percebe o quão complexo [...] ele pode ser até que estejam realmente em escala".
### Segurança de containers com machine learning
Os desafios específicos da segurança de containers podem ser resolvidos usando algoritmos de machine learning treinados na observação dos componentes de uma aplicação quando ela está 'funcionando corretamente'. Ao criar uma linha de base de comportamento normal, o machine learning pode identificar anomalias que podem indicar ameaças potenciais de tráfego incomum, alterações não autorizadas na configuração, padrões de acesso de usuário estranhos e chamadas de sistema inesperadas.
As plataformas de segurança de containers baseadas em ML podem escanear repositórios de imagens e comparar cada um com bancos de dados de vulnerabilidades e problemas conhecidos. As varreduras podem ser acionadas e agendadas automaticamente, ajudando a evitar a adição de elementos prejudiciais durante o desenvolvimento e na produção. Relatórios de auditoria gerados automaticamente podem ser rastreados em relação a benchmarks padrão, ou uma organização pode definir seus próprios padrões de segurança – útil em ambientes onde dados altamente confidenciais são processados.
A conectividade entre funções especializadas de segurança de containers e software de orquestração significa que containers suspeitos podem ser isolados ou fechados imediatamente, permissões inseguras revogadas e acesso de usuário suspenso. Com conexões API a firewalls locais e endpoints VPN, ambientes ou sub-redes inteiras podem ser isoladas ou o tráfego interrompido nas fronteiras da rede.
### Palavras finais
O machine learning pode reduzir o risco de violação de dados em ambientes containerizados, trabalhando em vários níveis. Detecção de anomalias, varredura de ativos e sinalização de possível má configuração são todos possíveis, além de qualquer grau de alerta ou melhoria automatizada são relativamente simples de implementar.
As possibilidades transformadoras de aplicativos baseados em container podem ser abordadas sem os problemas de segurança que impediram alguns de explorar, desenvolver e executar aplicações baseadas em microsserviços. As vantagens das tecnologias nativas da nuvem podem ser conquistadas sem comprometer os padrões de segurança existentes, mesmo em setores de alto risco.
