La seguridad de DevOps es la aplicación de la política y la tecnología de seguridad de la información a todo el ciclo de vida y flujo de valor de DevOps. Dado que DevOps tiende a involucrar todas las etapas del ciclo de vida del desarrollo de software, la seguridad efectiva se vuelve aún más crítica.
Para la mayoría de las organizaciones, la seguridad de la información no es nueva. Una de las principales preocupaciones de la tecnología de la información es: ¿Cómo se puede reducir los riesgos de seguridad? Sin embargo, la infraestructura de DevOps es una desviación significativa de los paradigmas más tradicionales de TI.
¿Cómo se puede aplicar con éxito la seguridad de la información a DevOps?
1. DevOps tiene un ritmo de cambio rápido. Uno de los efectos más frecuentes en la seguridad.
En los entornos heredados, la infraestructura que ha sido aprovisionada normalmente como hardware físico completo, con un ciclo largo entre una solicitud de aprovisionamiento y la disponibilidad funcional. El desarrollo de software generalmente siguió una cadencia en cascada, con lanzamientos importantes que ocurren cada pocos meses o trimestres.
Por el contrario, los entornos ágiles modernos pueden ver múltiples implementaciones de producción en un solo día. Además, la utilización de la infraestructura basada en la nube significa que la capacidad adicional se puede ampliar en cuestión de minutos, en lugar de horas o días. Todo esto se suma a un aumento significativo en la tasa de cambio para un entorno determinado. La tecnología y los procesos heredados no se crearon para adaptarse a un entorno con tanta delta.
2. Seguridad en la Nube.
Otro desafío es el resultado directo de la prevalencia de la arquitectura en la nube. En comparación con una implementación local tradicional, la nube presenta una superficie de ataque mucho más amplia, con límites de red difusos y poco definidos. Casi cualquier recurso aprovisionado se puede configurar para que sea accesible al tráfico público de Internet con solo unos pocos clics o líneas de código. La seguridad de la red heredada funcionaba bajo el supuesto de que la red estaría bien definida, con un puñado de vectores de entrada y salida bien establecidos.
Las herramientas, la tecnología y los procesos de seguridad heredados simplemente no se diseñaron teniendo en cuenta muchos de estos casos de uso. Los equipos de seguridad e ingeniería aislados no escalarán con el ritmo rápido e iterativo de una cultura de DevOps primero. La seguridad y la ingeniería, que operan en burbujas aisladas, a menudo duplicarán el esfuerzo operativo y el flujo de información que podrían agregarse fácilmente en un solo segmento.
La construcción de una canalización también es crucial para que los equipos estén sincronizados y obtengan la misma información de la misma fuente. En realidad, sin embargo, no es raro ver cosas como organizaciones que ejecutan dos agentes de Splunk en la misma caja: uno para el equipo de seguridad y otro para el equipo de aplicaciones; o un equipo de fraudes que recibe información tanto de la seguridad como de la infraestructura, cada una de las cuales ejecuta canales de eventos paralelos y completamente separados.
Recomendaciones:
- Revisa la metodología para mantener y publicar las aplicaciones. Esta debe seguir buenas prácticas.
- Realiza con cierta periodicidad un análisis de vulnerabilidades en tu infraestructura y aplicaciones.