James Steidl - Fotolia

Resolver Problemas Consiga ayuda para problemas específicos con sus proyectos, procesos y tecnologías.

Evite las vulnerabilidades de seguridad de DevOps más comunes en la nube

Al aplicar los principios de DevOps, como la automatización continua y la entrega continua, muchas organizaciones están creando vulnerabilidades de seguridad de DevOps en su nube pública.

Uno de los principales principios de DevOps es la idea de que todas las tareas deben ser automatizadas y el nuevo código debe ser capaz de moverse sin problemas a la producción, sin interacciones manuales que ralenticen el proceso. Y cuando los principios de DevOps de entrega continua y despliegue continuo se mueven al ámbito de la nube pública, estalla la oportunidad de automatizar lo que de otro modo serían tareas manuales.

En la nube pública, la configuración de casi todos los ajustes concebibles se realiza a través de una API, lo que significa que todo, desde el suministro de servidores hasta la asignación de procesadores, se puede escribir en un script. Es un concepto poderoso, pero traer los principios de DevOps a la nube pública también es un problema cargado de peligros, lo que significa que las organizaciones deben poner una mayor prioridad en la seguridad de DevOps y DevSecOps. "Al mover los sistemas a la nube pública, cada elemento que se puede configurar también puede estar mal configurado", dijo Roy Feintuch, CTO y co-fundador de Dome9 Security. "En la nube, esas configuraciones erróneas lo ponen a un golpe de tener sus datos expuestos o sus máquinas comprometidas".

Errores comunes de seguridad de DevOps

Entonces, ¿cuáles son las configuraciones erróneas más comunes que las herramientas DevSecOps están identificando en el software desplegado en las nubes públicas, como Google, Amazon y Azure? ¿Cómo pueden las organizaciones mejorar su seguridad DevOps?

"Hay múltiples frentes en los que encontramos que los usuarios son desafiados. Uno de ellos es la gestión de grupos de seguridad", dijo Feintuch. "Cuando los entornos se hacen grandes, decenas o cientos de grupos de seguridad se conectan a cientos o incluso miles de instancias de servidor. Con casi todos los clientes, vemos algún tipo de configuración equivocada del grupo de seguridad que puede conducir a un problema de seguridad".

Otro error común de seguridad de DevOps es la exposición involuntaria de los datos públicos que se almacenan en un cubo del servicio de almacenamiento simple (S3) accesible al público. Según Feintuch, no es raro ver un acceso demasiado permisible a los recursos de la nube de Amazon, que deberían ser datos privados y restringidos.

El tercer problema más común es la cuestión combinada de sistemas de administración de identidades mal configurados y políticas de administración de acceso mal pensadas. "Los proveedores de nube proporcionan un poderoso sistema de administración de identidades, pero su poder y granularidad también significan que es complicado".

Entonces, ¿por qué ocurren estos problemas de seguridad recurrentes de DevOps? Hay una miríada de posibles razones. A veces, los problemas de DevSecOps se basan en una falta de entrenamiento. A veces, es un malentendido en términos de cómo se aplican los principios de DevOps a los requisitos no funcionales, como la seguridad. A veces, los problemas de seguridad de DevOps provienen de una supervisión en un script de implementación o configuración. Y, a veces, las cosas simplemente no funcionan cuando la seguridad está activada para un determinado microservicio o depósito de almacenamiento, y en la prisa por lograr que el código funcione, la seguridad se reduce hasta que un programa empieza a funcionar, mientras que la política y los requisitos de seguridad se descartan.

Solucionar problemas de seguridad de DevOps

Entonces, ¿qué se puede hacer para mitigar el riesgo de seguridad de la nube pública? Un simple primer paso es obtener un informe sobre sus cubos S3 o recursos similares, y ver quién tiene derechos de acceso completo a un recurso dado y luego averiguar por qué. Ese simple primer paso puede identificar rápidamente las áreas en que sus implementaciones de nube pública requieren más escrutinio.

Otra aproximación es iterar sobre los permisos de seguridad proporcionados a cualquier microservicio o APIs recientemente desplegado, y determinar cuáles son los permisos más restrictivos que se pueden aplicar al sistema, al mismo tiempo que se garantiza el acceso a los usuarios necesarios. Es un proceso iterativo y, posiblemente, que requiere mucho tiempo, pero es mucho más preferible que ir a la oficina una mañana para descubrir que el sistema recién desplegado ha sido hackeado.

En cuanto a ofrecer herramientas DevSecOps, Dome9 proporciona una interesante herramienta llamada IAM Safety, que hace prácticamente imposible que un usuario no autorizado realice acciones destructivas. "IAM permite a los usuarios de la nube pública definir una política que determine qué acciones no quieren que un hacker realice. Acciones como eliminar servidores de bases de datos, eliminar claves de cifrado, acceder a copias de seguridad de bases de datos o cambiar los valores del DNS [domain name system] pueden definirse una vez, por adelantado", dijo Feintuch. "Es un firewall de gestión de acceso e identidad, y se aplica de forma generalizada". Cuando un administrador tiene que realizar una acción peligrosa, hay maneras de elevar temporalmente su estado para realizar el trabajo peligroso, pero no es una opción que estaría disponible para un intruso.

Resolver el problema de seguridad nunca es una tarea fácil. Pero al pasar a la nube pública, las partes interesadas deben ser mucho más diligentes de lo que eran cuando todo el sistema estaba en las instalaciones. Una nube pública puede, de hecho, ser más segura que tener un centro de datos local, pero eso significa que la seguridad de DevOps y DevSecOps deben ser una prioridad, y el uso de todas las herramientas a su alcance para garantizar que sus sistemas no se ponen en peligro.

Este artículo se actualizó por última vez en septiembre 2017

Profundice más

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close