| 5 min de lectura
¿Despliegas tu aplicación en la nube? ¡Pues con más razón deberías implementar DevSecOps! Aunque la nube es realmente el camino a seguir, también presenta problemas de seguridad. La configuración incorrecta de los servicios en la nube es una de las principales causas de fallas. La cultura DevSecOps ayuda a las organizaciones haciendo de la seguridad en la nube un proceso continuo. En DevSecOps, la seguridad se integra perfectamente en el ciclo de vida del desarrollo de software (SDLC) desde las primeras fases. Dado que la seguridad en la nube se desplaza hacia la izquierda, cualquier problema puede detectarse antes y remediarse para evitar ciberataques exitosos.
Seguridad en la nube bien hecha con DevSecOps
Los equipos de desarrollo eligen la infraestructura en la nube porque les permite crear soluciones de software en arquitecturas personalizadas y modernas. Y como es altamente escalable, pueden aumentar el uso de servidores en la nube en sus aplicaciones para satisfacer la necesidad de sus clientes de rapidez y eficacia. Además, los servicios en la nube están respaldados por gigantes como Amazon, Google y Microsoft. De gran importancia es que los equipos de desarrollo de software obtienen estos beneficios por unos costos inferiores a los que obtendrían en otro caso.
Así pues, la nube está en el centro de la transformación digital que se está produciendo por doquier. Así que es fundamental tener la seguridad de este ambiente en mente. El enfoque DevOps tradicional para desarrollar es el de crear una aplicación en una infraestructura determinada y evaluar la seguridad cuando la solución de software está a punto de ser lanzada. Entonces, los equipos de desarrollo de aplicaciones y operaciones de TI trabajan aislados del equipo de seguridad. Cuando este último está aislado como en DevOps, la verificación de la seguridad se convierte en un obstáculo, ya que obliga a los desarrolladores a retroceder y volver a trabajar para solucionar problemas que podrían haberse resuelto antes.
DevSecOps pretende unir desde el principio los esfuerzos de los equipos de desarrollo, operaciones y seguridad, haciendo de la seguridad una parte integral de todo el SDLC. En lo que respecta a la nube, esta cultura propone desplazar hacia la izquierda la detección de vulnerabilidades en código propietario, archivos de infraestructura como código (IaC) e imágenes de contenedores, así como de errores de configuración de activos, tanto propietarios como de un proveedor en la nube, y problemas con dependencias de terceros, como software desactualizado o que no cumple estándares. En DevSecOps, las evaluaciones de seguridad son continuas y, aunque podría haber una gran cantidad de automatización aplicada a ellas, también se realizan manualmente. Como explicaremos más adelante, los beneficios de llevar la seguridad en la nube a las primeras fases del SDLC implican, en pocas palabras, desplegar software más seguro, innovador y competitivo con mayor rapidez.
Problemas claves que DevSecOps en la nube ayuda a abordar
Aunque las amenazas son muchas, solo para ilustrar el uso de DevSecOps en la nube, podríamos mencionar algunos problemas comunes que podrían detectarse y abordarse antes que en la fase tradicional de pruebas de desarrollo y operaciones. Dos de estos casos son los errores de codificación y configuración de servicios, que suponen un grave riesgo para la seguridad de la información. Nuestros pentesters encuentran repetidamente credenciales para servicios en la nube en los códigos fuente de los clientes (esto se evidenció claramente en nuestro State of Attacks de 2022) y, para empeorar las cosas, estas credenciales son a menudo para roles con permisos excesivos. Los atacantes que las tengan en su poder pueden extraer más secretos, modificar páginas web y archivos, apagar servidores y mucho más.
Otro problema es la seguridad de los archivos de infraestructura como código. La nube aporta a los equipos la ventaja de poder escribir definiciones de infraestructura (p. ej., bases de datos, redes, máquinas virtuales), lo que garantiza la creación fiable de los mismos ambientes una y otra vez. Estas definiciones pueden almacenarse en un repositorio y desplegarse mediante integración continua. Ahora bien, cuando los equipos crean nuevos ambientes (aunque solo sea para experimentar), necesitan que sean seguros. Por ejemplo, surgen problemas cuando estas definiciones incumplen la norma del mínimo privilegio, otorgando así a determinadas cuentas unos privilegios superiores a los necesarios, o cuando los algoritmos de cifrado no protegen adecuadamente los archivos, poniendo en peligro los datos sensibles. La seguridad de la información se ve comprometida de forma similar a la mencionada anteriormente. Afortunadamente, las pruebas de seguridad de aplicaciones estáticas (SAST) pueden identificar estas fallas muy temprano; no hay necesidad de esperar hasta la fase de prueba de software o ser afectado por un ciberataque.
Junto con la seguridad de la infraestructura antes de su despliegue en la nube, está la necesidad de evaluar los contenedores, cuya popularidad está aumentando debido a la adopción de la nube. Se trata de paquetes de código de aplicaciones y dependencias que, al virtualizar los sistemas operativos, permiten que las aplicaciones se ejecuten de forma rápida y fiable en cualquier ambiente. Hacer SAST temprano y análisis de composición de software (SCA) de manera temprana y constante ayuda a encontrar código vulnerable y dependencias en dichos paquetes que pueden abrir la puerta a la explotación. Además, se aconseja realizar de manera continua y manual las pruebas de seguridad de aplicaciones dinámicas (DAST) para encontrar errores de configuración de la red y el almacenamiento que podrían permitir el acceso no autorizado y la revelación de datos sensibles, respectivamente.
Beneficios de DevSecOps en la nube
Estos son los principales beneficios de implementar DevSecOps en la nube:
-
Colaboración más estrecha: Los equipos de desarrollo, seguridad y operaciones se unen por la causa compartida que es entregar rápidamente software seguro en la nube. Algunos individuos, como los ingenieros de DevSecOps, pueden liderar el camino para asegurar la infraestructura mientras forman a sus compañeros desarrolladores en los aspectos básicos.
-
Despliegue más rápido: DevOps ya había impulsado la velocidad para poner los cambios en producción. Dado que DevSecOps minimiza los problemas de seguridad que surgen justo antes de la publicación del software en la nube, se considera la evolución natural de DevOps que aumenta la frecuencia de despliegue.
-
Respuesta al cambio más rápida: A medida que los equipos despliegan con más frecuencia en la nube, pueden responder más rápidamente a las necesidades de innovación y mejora. Esto es especialmente cierto cuando se trata de aprovechar al máximo la infraestructura nativa de la nube para seguir el ritmo de la competencia.
-
Remediación de vulnerabilidades con mayor rapidez: Tal y como muestra nuestro State of Attacks de 2022 el tiempo promedio para remediar los problemas de seguridad se reduce en un 30% si las organizaciones rompen el build (es decir, evitan que se publique software con vulnerabilidades abiertas) y, de este modo, se ven urgidas a abordarlas.
-
Menores costos de remediación: Al remediar las vulnerabilidades en una fase temprana, los costos (p. ej., relacionados con tiempo o con dinero) son menores que cuando se hace en la fase de producción.
DevSecOps en la nube con Fluid Attacks
En Fluid Attacks, evaluamos la seguridad en la nube con pruebas de seguridad integrales a lo largo de todo el SDLC. (Consulta nuestras herramientas DevSecOps). Examinamos tu código fuente combinando las ventajas de los métodos automatizados y manuales para encontrar la exposición de secretos y credenciales para servicios en la nube. Además, evaluamos los archivos IaC en busca de errores de configuración para que puedas mejorar la seguridad de tus recursos en la nube. También buscamos las dependencias de software desactualizadas o vulnerables o aquellas cuyas licencias no son compatibles con las políticas de tu organización. Puedes hacer un seguimiento de todos los hallazgos, gestionar la remediación y obtener orientación de nuestros hackers en la plataforma. Todo esto y mucho más, utilizando nuestra solución Hacking Continuo.
No lo dudes más e inicia la prueba gratuita de 21 días.
Blog posts recomendados
Quizá te interesen los siguientes posts similares.
Introducción a la ciberseguridad del sector de la aviación
¿Por qué calcular riesgos de ciberseguridad con nuestra métrica CVSSF?
Nuestra nueva arquitectura de pruebas para el desarrollo de software
Protegiendo tus TPV de las ciberamenazas
Los siete ciberataques más exitosos contra esta industria
Retos, amenazas y buenas prácticas para los comerciantes
Sé más seguro aumentando la confianza en tu software