Debido a su coste y complejidad, muchas organizaciones todavía no han invertido en una solución PAM. Si bien esto no deja de ser cierto para algunas
Algunos de los desafíos a la hora de adoptar la seguridad en DevOps, también conocida como DevSecOps, son poner demasiado énfasis en las herramientas en lugar de en los procesos, la resistencia cultural, los controles de acceso deficientes y la mala gestión de los secretos. Si bien implementar la seguridad en DevOps conlleva desafíos, existen varias prácticas recomendadas que las organizaciones pueden seguir para que su implementación sea lo más efectiva y fluida posible, como una gestión adecuada de los cambios, la lucha contra la difusión de secretos y el principio de privilegios mínimos.
Siga leyendo para conocer las siete prácticas recomendadas que las organizaciones deben seguir al implementar la seguridad en DevOps.
¿En qué consiste la seguridad en DevOps?
La seguridad en DevOps, también conocida como DevSecOps, se refiere a la filosofía según la cual la seguridad debe integrarse en el ciclo de vida del desarrollo del software (SDLC) lo antes posible. Preferiblemente, antes de escribir una sola línea de código para el software. Tradicionalmente, los equipos de DevOps codificaban primero, luego descubrían fallas de seguridad y las corregían más tarde en el SDLC. Si bien esto puede parecer productivo para los desarrolladores, encontrar y corregir fallos de seguridad desde el principio requiere mucho menos tiempo y costes que refactorizar el código más adelante en el SDLC.
Desafíos de la implementación de DevSecOps
Estos son algunos de los desafíos que se afrontan a la hora de implementar la seguridad en DevOps.
Centrarse demasiado en las herramientas
Si bien las herramientas pueden ser beneficiosas, las herramientas de DevSecOps no deben ser lo primero que las organizaciones busquen al implementar la seguridad en DevOps. En su lugar, las organizaciones deben investigar sus procesos actuales, ver qué es lo que debe corregirse y luego determinar qué herramientas necesitan para que esos procesos sean más seguros y eficientes.
Resistencia cultural
Cuando se intenta implementar DevSecOps, los desarrolladores suelen rechazar el uso de este tipo de herramientas porque pueden estar acostumbrados a hacer las cosas de otra manera. Cuando codifican, los desarrolladores suelen hacerlo con la vista puesta en la viabilidad, así que los desarrolladores temen que centrarse en la seguridad durante todo el proceso de producción pueda ralentizar el proceso.
Los desarrolladores no son el único equipo que puede llegar a ofrecer resistencia. Los equipos de seguridad suelen desempeñar gran parte de su trabajo de forma manual, mientras que los desarrolladores intentan automatizar sus procesos al máximo. Dado que los desarrolladores trabajan a un ritmo acelerado y utilizan la automatización, los equipos de seguridad pueden mostrarse escépticos ante la implementación de DevSecOps y la idea de una colaboración cruzada.
Controles de acceso deficientes
Muchos equipos de DevOps brindan a sus desarrolladores acceso ilimitado a las cuentas privilegiadas, como las cuentas raíz y de administración. Si bien esto ayuda a que los equipos de DevOps puedan acelerar la producción, también se plantea un riesgo importante para la seguridad y causa problemas importantes en las auditorías de cumplimiento. Además, muchas herramientas de DevOps reciben un alto nivel de acceso, mucho más de lo necesario para operar y, con demasiada frecuencia, nadie se acuerda de ese acceso. Esto incrementa la potencial superficie de ataque de una organización y la expone a un mayor riesgo de sufrir una violación de seguridad.
Gestión deficiente de los secretos
Con gestión de secretos se hace referencia al proceso de gestión y protección de los secretos de la infraestructura de TI, como las credenciales de inicio de sesión no humanas, las claves de Secure Shell (SSH) y las claves de la interfaz de programación de aplicaciones (API). A medida que los equipos de TI y DevOps van creciendo, es habitual encontrarse con un problema conocido como «difusión de secretos», en función del cual los secretos de infraestructura se codifican en el código fuente y son distribuidos por toda la organización a través de los diferentes equipos, departamentos y miembros de dichos equipos. Esto hace extremadamente difícil que el departamento de TI disfrute de una visibilidad y un control totales sobre los secretos, lo que supone un riesgo importante para la seguridad.
7 prácticas recomendadas a la hora de implementar la seguridad en DevOps
Estas son las siete prácticas recomendadas que las organizaciones deben seguir al implementar DevSecOps.
1. Adoptar un modelo de DevSecOps
Para que la implementación de DevSecOps sea lo más fluida posible, las organizaciones deben adoptar un modelo de DevSecOps por completo. Esto significa que todos los miembros del equipo de DevOps deben adoptar la seguridad durante toda la duración del desarrollo del software. La colaboración interfuncional entre DevOps y los equipos de seguridad se convertirá en un aspecto muy importante de la iniciativa, por lo que ambos equipos tendrán que trabajar en estrecha colaboración para la adopción de DevSecOps.
2. Utilizar una gestión adecuada de los cambios
Utilizar métodos adecuados de gestión de los cambios cuando se implementa DevSecOps puede ayudar a vencer toda la resistencia cultural por parte de los equipos de DevOps y de seguridad. Ambos equipos deben comprender que implementar DevSecOps no va a ralentizar la producción, sino que hará que la organización sea más productiva y les ahorrará tiempo. Una gestión adecuada de los cambios también debe establecer estándares de codificación claros para los desarrolladores e implementar herramientas y procesos para automatizar la seguridad.
3. Automatizarlo todo
Tal y como se mencionó anteriormente, los desarrolladores trabajan a buen ritmo, lo que puede hacer complicado para los equipos de seguridad seguirl el ritmo de los procesos de DevOps. Para que la implementación de DevSecOps sea lo más fluida posible, tanto para los desarrolladores como para los equipos de seguridad, los procesos de seguridad deberán automatizarse. Esto permite a los desarrolladores seguir trabajando a su ritmo actual al tiempo que se aceleran las operaciones de seguridad. Algunos ejemplos de procesos de seguridad que pueden automatizarse durante el SDLC son las revisiones de código, la gestión del acceso, la gestión de vulnerabilidades, la gestión de secretos y la gestión de la configuración.
4. Combatir la difusión de secretos mediante la gestión de secretos
La mejor manera de combatir la difusión de secretos y gestionar de forma segura los secretos de infraestructura es con la gestión de secretos. La gestión de secretos garantiza que solo las entidades autenticadas y autorizadas tengan acceso a los secretos. Al implementar DevSecOps, la colaboración entre DevOps y los equipos de seguridad va a ser muy importante y requiere que estos equipos compartan credenciales privilegiadas. La gestión de secretos ayuda a los administradores de TI a compartir y gestionar estos secretos de forma segura para que no se gestionen de forma incorrecta ni se utilicen de forma indebida.
5. Implementar la gestión del acceso privilegiado
La gestión del acceso privilegiado (PAM, por sus siglas en inglés) permite a los administradores de TI aplicar el principio de privilegios mínimos (PoLP, por sus siglas en inglés), un concepto de seguridad cibernética en el que los usuarios solo tienen acceso a los datos y los sistemas que necesitan para hacer su trabajo, y nada más. A la hora de proteger la pila de DevOps, la PAM es importante porque con frecuencia los desarrolladores reciben demasiados privilegios, y esto aumenta el riesgo de que los atacantes externos e internos puedan vulnerar esos derechos de acceso. Implementar la PAM puede ayudar a las organizaciones a auditar el acceso privilegiado para que los empleados solo tengan acceso a los sistemas y los recursos que necesitan para hacer su trabajo, para reducir así el riesgo de sufrir un ataque interno.
6. Realizar periódicamente pruebas de intrusión
Las pruebas de intrusión, también conocidas como pruebas de penetración, son una forma de simulación que se realiza en la red de su organización. El propósito de las pruebas de intrusión es determinar la fortaleza de la red de su organización e identificar las vulnerabilidades que los cibercriminales podrían aprovechar. Durante la implementación de DevSecOps en el entorno de desarrollo de su organización, deben realizarse pruebas automatizadas con regularidad para comprobar su solidez y detectar las vulnerabilidades de seguridad que deben corregirse. Cuanto antes se encuentren estas vulnerabilidades, más eficiente será la implementación de DevSecOps.
7. Sensibilizar sobre las prácticas recomendadas en materia de seguridad
Al implementar cualquier filosofía, concepto o herramienta de seguridad cibernética en su organización, debe sensibilizar a los empleados sobre las prácticas recomendadas en materia de seguridad. Sus empleados pueden ser el eslabón más débil en lo que respecta a la seguridad cibernética. Una formación periódica puede ayudarles a comprender mejor la seguridad y a detectar las amenazas cibernéticas que les identifican como objetivo. Cuanto más al tanto de las prácticas recomendadas en materia de seguridad estén sus empleados, más segura será su organización.
Cómo ayuda KeeperPAM™ a las organizaciones a implementar DevSecOps
KeeperPAM es una solución de gestión del acceso privilegiado de confianza cero y conocimiento cero que combina tres de los productos principales de Keeper en una plataforma unificada: Keeper Enterprise Password Manager (EPM), Keeper Secrets Manager (KSM) y Keeper Connection Manager (KCM). KeeperPAM hace de la implementación de DevSecOps una experiencia sin contratiempos, ya que ayuda a las organizaciones a almacenar credenciales de forma segura, gestionar los derechos de acceso y los permisos, consolidar y gestionar secretos y rotar las credenciales automáticamente.
Si quiere obtener más información sobre cómo KeeperPAM puede ayudar a su organización con la implementación de DevSecOps, solicite una demo hoy mismo.