No video of the event yet, sorry!

Desde laboratorios personales hasta entornos de producción, los contenedores están dominando la forma en la que empaquetamos y desplegamos software. Sin embargo, están muy lejos de ser esas robustas cajas de metal herméticas que su nombre nos sugiere.

El aislamiento por defecto que nos proporcionan los namespaces y cgroups presenta limitaciones arquitectónicas claras al compartir el kernel con el sistema host, por lo que este modelo no se traduce en una barrera de seguridad robusta. Por ello exploraremos cómo se encadenan los controles para reducir la superficie de ataque, limitar privilegios y mitigar el impacto.

Durante esta charla analizaremos cómo dificultar el compromiso y el movimiento lateral dentro de nuestra infraestructura, buscando responder a tres preguntas clave: ¿Qué herramientas estoy dejando en el sistema que mi aplicación realmente no necesita?, ¿qué barreras protegen al nodo host en el momento en que el aislamiento del contenedor se rompe? y ¿por qué mis servicios asumen por defecto que el tráfico de la red interna es confiable?

Para resolverlas, entraremos en detalle en el hardening a nivel de host e imagen, las estrategias de defensa en profundidad y la aplicación de los principios de diseño Zero Trust. El objetivo de esta sesión es definir un modelo arquitectónico que garantice la contención efectiva de las amenazas, asegurando que una brecha de seguridad en un único contenedor no derive en el compromiso total de la infraestructura.