● 55 entries

Seguridad en la nube

Admission Controller de KubernetesUn admission controller es un plugin del API server de Kubernetes que intercepta las peticiones autenticadas antes de persistirlas para validar, mutar o rechazar objetos segun politicas.
Aislamiento de inquilinosConjunto de controles que garantiza que, en una plataforma cloud o SaaS compartida, los datos, identidades y cargas de un cliente no puedan ser accedidos ni afectados por otro.
Ataque a AWS IMDSv1Robo de credenciales del rol de instancia EC2 enviando peticiones GET no autenticadas al endpoint heredado IMDSv1, normalmente mediante SSRF.
Ataque a cluster de KubernetesIntrusion contra un cluster de Kubernetes (K8s) que abusa de APIs expuestas, RBAC debil o cargas vulnerables para hacerse con el control plano o los nodos.
Bring Your Own Key (BYOK)Modelo de gestión de claves en el que el cliente genera o importa sus propias claves de cifrado en el KMS del proveedor cloud, en lugar de usar las generadas por este.
CASB (Cloud Access Security Broker)Punto de aplicación de políticas situado entre los usuarios y las aplicaciones cloud/SaaS para garantizar visibilidad, protección de datos y controles contra amenazas.
CIEM (Cloud Infrastructure Entitlement Management)Disciplina y categoría de herramientas que descubre, analiza y ajusta las identidades y permisos existentes dentro de los entornos cloud.
Cifrado en la nubePráctica de cifrar los datos almacenados, procesados o transmitidos en servicios cloud para que solo las partes autorizadas con las claves correctas puedan leerlos.
CiliumCNI basado en eBPF que proporciona red, observabilidad y seguridad para cargas de Kubernetes a velocidad de kernel.
CNAPP (Cloud-Native Application Protection)Plataforma integrada que combina CSPM, CWPP, CIEM, escaneo de IaC y detección en runtime para proteger aplicaciones nativas en la nube de build a producción.
Computación confidencialProteger los datos mientras se procesan ejecutando las cargas dentro de Entornos de Ejecución Confiables por hardware que las aíslan del host y del operador cloud.
Configuración incorrecta de IAM (cloud)Ajustes inseguros o demasiado permisivos del IAM en la nube que permiten a usuarios, roles o servicios realizar acciones más allá de lo que realmente necesitan.
Configuración incorrecta de un bucket S3Error de configuración en un bucket de Amazon S3 (u otro almacén de objetos) que expone objetos, permite escrituras no deseadas o concede accesos amplios entre cuentas.
Configuración incorrecta en la nubeBrecha de seguridad provocada por ajustes incorrectos o inseguros de servicios cloud, como almacenamiento expuesto, políticas IAM débiles o puertos de gestión abiertos.
Container EscapeExploit que rompe el aislamiento entre un contenedor y su host, permitiendo al atacante ejecutar codigo en el nodo o el kernel subyacente.
Cryptojacking en la nubeUso no autorizado de los recursos de computo en la nube de una victima para minar criptomonedas, generando facturas elevadas mientras el atacante obtiene las recompensas.
CSPM (Cloud Security Posture Management)Categoría de herramientas que evalúan continuamente las cuentas de nube frente a buenas prácticas y normativas para detectar y corregir configuraciones incorrectas.
CWPP (Cloud Workload Protection Platform)Plataforma que protege las cargas de trabajo en la nube —máquinas virtuales, contenedores y funciones serverless— durante todo su ciclo de vida, desde la build al runtime.
Enclave seguroRegión del procesador o SoC, aislada por hardware y protegida en integridad, que ejecuta código sensible y almacena claves fuera del alcance del sistema operativo principal.
Entorno de Ejecución Confiable (TEE)Contexto de ejecución seguro y aislado dentro del procesador donde el código y los datos están protegidos en confidencialidad e integridad, incluso frente al SO y al hipervisor.
Escalada de privilegios IAMAbuso de permisos IAM existentes en la nube para obtener privilegios mas amplios, a menudo editando politicas, asumiendo roles o autoconcediendose permisos administrativos.
Exfiltracion de datos en la nubeCopia o transferencia no autorizada de datos fuera de una cuenta cloud, habitualmente mediante APIs de almacenamiento, snapshots, replicacion o cuentas controladas por el atacante.
Filtracion de claves cloudExposicion accidental de claves cloud de larga duracion en repositorios publicos, imagenes de contenedor, logs o codigo cliente, a menudo abusadas en minutos.
Funciones como Servicio (FaaS)Modelo serverless en el que funciones efímeras se ejecutan bajo demanda ante eventos, mientras el proveedor gestiona servidores, escalado y entorno de ejecución.
gVisorgVisor es un kernel de aplicacion de codigo abierto de Google que intercepta las syscalls de los contenedores en espacio de usuario para reducir la superficie de ataque del kernel del host.
Hallazgo CSPMAlerta generada por una herramienta de Cloud Security Posture Management cuando un recurso cloud incumple un benchmark, politica o regla de cumplimiento.
Hold Your Own Key (HYOK)Modelo de gestión de claves en el que las claves de cifrado nunca salen del HSM o almacén del cliente; el proveedor cloud debe llamarlo para usar la clave.
Identidad de WorkloadIdentidad criptográfica asignada a un servicio, contenedor o función para autenticarse ante otros sistemas sin secretos compartidos de larga duración.
Infraestructura como servicio (IaaS)Modelo de servicio en la nube en el que el proveedor entrega cómputo, almacenamiento y red virtualizados, y el cliente gestiona el SO, middleware y aplicaciones por encima.
Kata ContainersKata Containers es un runtime de codigo abierto que envuelve cada contenedor o pod de Kubernetes en una maquina virtual ligera para ofrecer aislamiento de nivel hardware.
kube-benchHerramienta open source de Aqua Security que comprueba automáticamente la configuración de un clúster Kubernetes frente al CIS Kubernetes Benchmark.
Kubernetes NetworkPolicyNetworkPolicy de Kubernetes es un recurso namespaced que controla que pods pueden conectarse a otros pods o destinos externos por IP, puerto y protocolo.
KubescapePlataforma de seguridad open source para Kubernetes de ARMO que analiza clústeres, manifiestos e imágenes en busca de mala configuración, vulnerabilidades y desviaciones de política.
KyvernoKyverno es un motor de politicas de Kubernetes (CNCF) que valida, muta y genera recursos usando politicas escritas en YAML nativo en lugar de un DSL nuevo.
Modelo de responsabilidad compartidaMarco de seguridad en la nube que reparte las tareas entre el proveedor (seguridad de la nube) y el cliente (seguridad en la nube).
OPA (Open Policy Agent)Motor de políticas de propósito general graduado por la CNCF que desacopla las decisiones de autorización de las aplicaciones y del control de admisión de Kubernetes usando el lenguaje Rego.
OPA GatekeeperOPA Gatekeeper es un controlador de politicas de la CNCF que usa Open Policy Agent y el lenguaje Rego para aplicar politicas de admision y auditoria en Kubernetes.
Plataforma como servicio (PaaS)Modelo en el que el proveedor gestiona el runtime, middleware, SO e infraestructura, y el cliente se centra en el código y los datos de la aplicación.
Pod Security StandardsLos Pod Security Standards (PSS) son perfiles de seguridad definidos por Kubernetes —Privileged, Baseline y Restricted— que codifican la configuracion segura de pods y sustituyen al obsoleto PodSecurityPolicy.
Política como CódigoPráctica de definir reglas de seguridad, cumplimiento y gobierno en código legible por máquina para versionarlas, probarlas, revisarlas y aplicarlas de forma automática.
Robo de tokens en la nubeRobo de tokens OAuth, SAML o de firma desde un servicio de identidad cloud y su reutilizacion para suplantar a usuarios o servicios sin necesidad de contrasenas.
Runtime SPIREImplementación open source de referencia de SPIFFE: un sistema servidor-agente que atesta workloads y emite SVIDs X.509 o JWT de corta duración.
Seguridad como CódigoPráctica de expresar controles, pruebas e infraestructura de seguridad como código fuente para versionarlos, revisarlos, automatizarlos y entregarlos continuamente junto a las aplicaciones.
Seguridad de contenedoresPráctica de proteger imágenes de contenedor, registros, orquestadores y el runtime en el que se ejecutan los contenedores.
Seguridad de IstioConjunto de funciones de seguridad de la malla Istio: identidad de workload vía SPIFFE, TLS mutuo automático y AuthorizationPolicy/RequestAuthentication para control de acceso fino.
Seguridad de KubernetesProtección de un cluster de Kubernetes —su API server, plano de control, nodos, cargas y red— frente a configuraciones erróneas, compromisos y movimiento lateral.
Seguridad de Service MeshConjunto de controles de identidad, cifrado y autorización que un service mesh provee para asegurar el tráfico servicio-a-servicio en entornos cloud-native.
Seguridad en la nubeConjunto de políticas, controles y tecnologías que protegen datos, aplicaciones e infraestructura alojados en nubes públicas, privadas o híbridas.
Seguridad serverlessPráctica de proteger cargas basadas en eventos y funciones, como AWS Lambda, Azure Functions o Google Cloud Functions, donde el proveedor gestiona los servidores subyacentes.
Software como Servicio (SaaS)Modelo de entrega en la nube en el que un proveedor aloja y opera una aplicación a la que los clientes acceden por Internet mediante suscripción.
SPIFFEEstándar abierto para asignar identidades criptográficas y portables a workloads usando SPIFFE IDs basados en URI y SVIDs X.509 o JWT de corta duración.
SSPM (SaaS Security Posture Management)Categoría de herramientas que supervisa de forma continua configuraciones, identidades e integraciones de aplicaciones SaaS para detectar errores y comportamientos de riesgo.
SSRF al metadato de la nubeAtaque SSRF que abusa de una aplicacion vulnerable para consultar el servicio de metadatos de instancia del proveedor cloud y robar credenciales temporales.
TetragonHerramienta de seguridad en runtime para Kubernetes, basada en eBPF y procedente del proyecto Cilium, que observa y aplica políticas de forma síncrona sobre procesos, ficheros y red.
Token de cuenta de servicio (Kubernetes)Credencial JWT montada en un pod de Kubernetes que autentica al workload ante el API server y otros servicios que confían en el proveedor de identidad del clúster.