Red Hat · Software · ficha YoctoIT

ACS

La seguridad de contenedores shift-left: vulnerabilidades, configuraciones y runtime protegidos a lo largo de toda la cadena, del build al clúster.

FOCUS · SEGURIDAD EN LA CADENADel Dockerfile al runtime: la seguridad movida a donde cuesta menos corregirla
Material YoctoIT para clientes y partners · Red Hat, RHEL, OpenShift, Ansible y los demás productos citados son marcas de Red Hat, Inc. o di sue affiliate.
01 · Qué es

Advanced Cluster Security, en claro.

ACS (StackRox) evalúa los riesgos a lo largo de todo el ciclo de los contenedores: escaneo de las imágenes en build, control de las configuraciones en el deploy (privilegios, network policies, secrets), detección runtime de los comportamientos anómalos. Las políticas bloquean el riesgo en la pipeline, antes de que llegue a producción.

Shift-left
la vulnerabilidad bloqueada en CI cuesta 1, en producción cuesta 100
Runtime
procesos y conexiones anómalos detectados en las cargas en ejercicio
Network policy
la segmentación de los pods sugerida por el tráfico real observado
Advanced Cluster Security
IMAGEN OFICIAL RED HAT · ACS
CONSOLE REALE · ACS NETWORK GRAPH · FONTE: RED HAT DOCS
CONSOLA REAL · ACS NETWORK GRAPH · FUENTE: RED HAT DOCS
02 · Cómo usarlo bien

Las cosas que marcan la diferencia.

La cadena protegida

Build & registryescaneo de imágenes, firma, SBOM
Deploy checks
Detección runtime
Network graph
políticas · anomalías · segmentación
ACS centralpolíticas y riesgo priorizado
Los clústeres OpenShiftprod, test, en todas partes
Cada fase controlada, un solo cuadro de mando

Políticas como guardarraíles

Las imágenes con CVE críticas o privilegios excesivos no pasan: el gate en la pipeline, no la caza después.

Priorización del riesgo

No 10.000 CVE sino los 20 deployments de verdad expuestos: se trabaja donde cuenta.

Segmentación factible

El network graph muestra quién habla con quién: las network policies nacen de los hechos.

Compliance de contenedores

CIS Kubernetes, NIST, PCI: los controles mapeados y medidos sobre los clústeres.

03 · En profundidad

Policy engine y supply chain

ACS evalúa el riesgo en build, deploy y runtime: las políticas (listas o custom) bloquean en el admission controller las imágenes con CVE críticas, privilegios excesivos o secrets en los manifests; el runtime observa procesos y red de los pods con líneas base de comportamiento; el network graph propone NetworkPolicies desde el tráfico real. Scanner V4 analiza imágenes y nodos; la integración CI (roxctl) lleva el veredicto a la pipeline.

  • Admission control — el deploy no conforme no entra: policy as code sobre el clúster
  • roxctl in CI — la imagen suspendida en la pipeline: el fail rápido que educa
  • Runtime baseline — procesos inesperados en los contenedores señalados: el crypto-miner no se esconde
  • Network graph — las NetworkPolicies sugeridas desde los flujos observados: micro-seg factible
  • Compliance — CIS/NIST/PCI medidos por clúster con informes
  • Vulnerability mgmt — CVE por deployment con versión corregible: la cola que se despacha
04 · Números y ciclo de vida

Los números que cuentan.

3
las fases cubiertas: build, deploy, runtime
60+
las políticas por defecto listas para usar
0
agentes privilegiados innecesarios: eBPF para el runtime
4/anno
las releases de ACS alineadas con OpenShift
La seguridad de los contenedores va en el flujo: políticas en admission, gates en CI y el runtime observado — configurados por nosotros, siempre encendidos.
05 · Casos de uso

Dónde rinde de verdad.

DevSecOps

La seguridad dentro de la pipeline, no después.

Ambienti regolamentati

Evidencias de control para NIS2/DORA también sobre los contenedores.

Multi-clúster

Un solo punto de visibilidad del riesgo sobre todos los OpenShift.

Los contenedores cambian cada día, la seguridad debe estar en el flujo: ACS dentro de nuestro perímetro gestionado.