En lo que se refiere a prácticas de seguridad, DevOps se considera verde. Los desarrolladores se centran generalmente en el rendimiento y la implementación de soluciones, en lugar de en su protección. Conforme la seguridad para cargas de trabajo en la nube (CWS) va avanzando desde la implementación hasta la adopción generalizada y la optimización del tiempo de ejecución, existen ciertos pasos que los equipos de DevOps deben acometer para asegurarse de proteger adecuadamente sus proyectos. A continuación, se abordan tres pasos críticos para que los equipos de DevOps mejoren su protección de CWS para la implementación y ejecución de aplicaciones.

Garantizar una evaluación adecuada

El primer paso para implementar las medidas de seguridad apropiadas en los flujos de DevOps es asegurarse de que se realice una evaluación adecuada. Es fundamental que la organización comprenda los riesgos asociados con la migración y la infraestructura del proveedor de soluciones en la nube.

Esta evaluación requiere que los equipos de DevOps hagan varias preguntas. La primera: ¿cuál es la responsabilidad compartida de este proyecto? Hay que tener en cuenta todas las partes que utilizarán esta solución y quién participará en su funcionamiento una vez que esté disponible.

En segundo lugar, ¿qué controles se pueden usar con la infraestructura actual y cuáles hay que implementar? Una vez que una iniciativa de CWS esté activa en tiempo de ejecución, tome nota de las capacidades de seguridad que puede implementar de inmediato y qué medidas de seguridad faltan.

Por último, ¿qué controles de seguridad se corresponden con la administración de riesgos? Una vez que haya finalizado su evaluación inicial, asegúrese de que se asignan los controles de seguridad apropiados para satisfacer las iniciativas de administración de riesgos.

Al realizar esta evaluación, tanto los equipos de seguridad como los desarrolladores de DevOps pueden protegerse mejor contra los ataques informáticos antes y durante la implementación, lo que es especialmente importante en el entorno moderno de DevOps.

Reconocer lo mucho que los entornos de infraestructura en la nube atraen a los delincuentes informáticos

En el panorama actual de DevOps existen varias razones por las que los delincuentes informáticos están reorientando sus ataques hacia entornos virtualizados y, más concretamente, hacia entornos Linux. En primer lugar, más del 80 % de las cargas de trabajo que residen en entornos de nube/híbridos (tanto servidores como contenedores) se ejecutan en distribuciones basadas en Linux. ¿Por qué? Son más eficientes y fáciles de administrar, consumen menos recursos y, básicamente, están diseñados para cumplir un objetivo específico. Esto implica que se construyen de manera más genérica y formulada, lo que facilita que los delincuentes informáticos imiten un entorno.

En segundo lugar, las cargas de trabajo basadas en Linux son las que más se pasan por alto en cualquier infraestructura; mucha gente cree que, como es código abierto, no son responsables de proteger Linux.

Por último, la mayoría de las distribuciones se alojan en el ámbito del código abierto, con lo que no existe un compromiso real de proporcionar actualizaciones y parches de seguridad, lo que las hace vulnerables por naturaleza. Al implementar una solución en un entorno de código abierto/Linux, los equipos de DevOps deben ser conscientes de los riesgos para la seguridad y lo que supone este tipo de entorno a largo plazo.

Pasos para proteger e implementar aplicaciones basadas en contenedores

Existen pasos clave para crear e implementar entornos virtualizados más seguros. Al desarrollar una iniciativa DevOps, debemos asegurarnos de que se aproveche la seguridad en cada fase del flujo de implementación. Es importante tener en cuenta las capacidades, como la detección y respuesta administradas (MDR) y la detección y respuesta ampliadas (XDR), como parte del proceso de evaluación durante la fase previa a la implementación para evaluar proactivamente las amenazas, las configuraciones erróneas y las vulnerabilidades.

Una vez que sus contenedores estén listos para el tiempo de ejecución, asegúrese de contar con las medidas de seguridad adecuadas. Puede crear entornos de contenedores con protecciones, pero, sin una protección real en tiempo de ejecución, esos contenedores seguirán siendo vulnerables durante una violación de la seguridad.

Desde la empresa, debemos ser conscientes de nuestra responsabilidad sobre los datos que se procesan en las aplicaciones en la nube, nos pertenezcan o no. Proteger los datos alojados se convierte en una responsabilidad compartida. Todos estos pasos garantizarán entornos más fiables y fáciles de usar.

Conclusión

Recuerde que los controles de seguridad en sí mismos son solo una tecnología. Los controles de seguridad, en un entorno ideal, deben ajustarse a los procesos y al desarrollo de productos. Prepararse para la implementación no debería significar sacrificar los controles de seguridad para realizar una implementación más rápida o eficiente.

Además, los ingenieros de DevOps deben poder comprender la tecnología, los protocolos y los riesgos. También tienen que saber optimizarlas.

Yasser Fuentes

Technical Product Manager (Cloud) de Bitdefender

by