DevOps: se subestiman los riesgos
La transformación digital requiere una gran agilidad y está impulsando el uso de entornos DevOps de forma decisiva, ya que DevOps ofrece innovación acelerada, mayor flexibilidad y menor complejidad en el desarrollo y despliegue de aplicaciones.
Por lo tanto, con la implantación de DevOps, las empresas buscan ante todo obtener ventajas empresariales. Sin embargo, con demasiada frecuencia descuidan la seguridad, un grave error, ya que DevOps en particular amplía considerablemente la superficie de ataque de los ciberataques.
Cuando las empresas utilizan modelos DevOps, se generan y comparten más cuentas y credenciales privilegiadas a través de ecosistemas empresariales en red de forma automatizada.
Estos datos de acceso -que hasta ahora no se han tenido suficientemente en cuenta ni se han protegido- incluyen cuentas de servicio, claves de cifrado, API y SSH, secretos de contenedor o contraseñas incrustadas en el código de los programas, que a menudo también se encuentran en repositorios centrales.
Las credenciales privilegiadas de uso adicional asociadas a personas, servicios o aplicaciones representan inevitablemente un objetivo lucrativo para un atacante externo o un insider malintencionado. Al fin y al cabo, permiten un control total de toda la infraestructura informática de una empresa.
El riesgo de seguridad para las empresas aumenta aún más con el uso de numerosas herramientas de orquestación y automatización, como las herramientas de CI (integración continua) y CD (entrega continua) o los repositorios de código fuente como GitHub en los proyectos DevOps.
El reto aquí es que las herramientas utilizadas en la cadena de herramientas DevOps, como Ansible, Chef, Puppet o Jenkins, no ofrecen ningún estándar común, por lo que las empresas deben adoptar medidas de seguridad individuales y específicas para cada herramienta.
Sobre todo, los flujos de trabajo para el control de acceso a credenciales privilegiadas difieren significativamente. Como resultado, muchas empresas siguen estrategias de control de acceso inexistentes, incoherentes o manuales, por lo que las brechas de seguridad están preprogramadas y los atacantes las buscan de forma tan automática como se genera el código en el proceso DevOps.
Las contramedidas exitosas solo pueden tomarse con una pila de seguridad DevOps dedicada, y aquí es donde entra en juego la seguridad de TI. Debe apoyar a los equipos DevOps con un enfoque sistemático para alcanzar un alto nivel de seguridad.
Las herramientas y prácticas de DevOps y seguridad deben integrarse para establecer una protección eficaz de los datos privilegiados. Una estrecha colaboración entre los equipos de DevOps y de seguridad es, por tanto, el primer paso para construir con éxito una plataforma de seguridad escalable y aplicar una estrategia DevSecOps que pueda seguir el ritmo del entorno dinámico y de la tecnología en rápida evolución.
La administración de todas las herramientas DevOps y los datos de acceso debe tener lugar bajo el paraguas de una plataforma de seguridad de este tipo. La administración central y automática y la protección de todos los datos de acceso confidenciales utilizados en un canal de DevOps, como claves de cifrado y API, contraseñas de bases de datos o certificados de seguridad de la capa de transporte (TLS), son de vital importancia.
Por supuesto, los secretos individuales también se gestionan aquí de forma automática y dinámica, lo que asegura el acceso en la producción DevOps.
La protección de todos los datos de acceso utilizados por máquinas, sistemas y personas debe tener lugar en un sistema de almacenamiento de alta disponibilidad y seguridad (bóveda), un servidor especialmente "reforzado" que ofrezca una protección fiable contra el acceso no autorizado con varias capas de seguridad diferentes.