Andrea Danti - Fotolia

Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Conozca estas mejores prácticas de seguridad para DevOps

Los desarrolladores y el personal de operaciones que dividen las responsabilidades de seguridad como parte de un flujo de trabajo de DevOps deben aplicar estas mejores prácticas para garantizar que ninguna vulnerabilidad pase desapercibida.

Las prácticas de DevOps han arrojado luz sobre los problemas de seguridad que abarcan el diseño de aplicaciones a través de la implementación. Los desarrolladores y el personal de operaciones deben colaborar para entregar cada iteración de software con el diseño, las pruebas, las herramientas y la infraestructura necesarias para protegerse contra actividades maliciosas y mantener el cumplimiento.

Ya sea que sea un desarrollador o un profesional de seguridad de TI dedicado, es fundamental comprender y aplicar las mejores prácticas de seguridad de DevOps.

Habilidades de seguridad se extienden a través del proceso de DevOps

Los errores de software, las malas prácticas de diseño, los ataques maliciosos y las configuraciones de hardware débiles o inconsistentes han conspirado para plagar aplicaciones empresariales desde el inicio de la era digital. Pero la seguridad se ha tratado en gran medida como una ocurrencia tardía, o como un componente separado del software y su infraestructura operativa. Un equipo de seguridad detectaría un problema, analizaría la causa y resolvería el problema con una solución, como un cambio de configuración del sistema o un parche de software.

A medida que aumenta la velocidad de desarrollo de software con la adopción de enfoques continuos, como lo ágil y DevOps, las medidas de seguridad tradicionales luchan por mantener el ritmo. DevOps permite un software y una implementación más rápidos, pero las fallas y vulnerabilidades proliferan mucho más rápido. Como resultado, las organizaciones deben cambiar sistemáticamente sus enfoques para integrar la seguridad en toda la línea de DevOps.

Para comenzar, aplique las mejores prácticas de seguridad de DevOps a estas cinco áreas clave:

Código. La seguridad del software a menudo comienza con la base de código. Los desarrolladores lidian con innumerables descuidos y vulnerabilidades, incluidos desbordamientos de búfer; omisiones de autorización, como no requerir contraseñas para funciones críticas; vulnerabilidades de hardware pasadas por alto, como Spectre y Meltdown; y vulnerabilidades ignoradas de la red, como el comando del sistema operativo o la inyección de SQL.

La aparición de API para la integración y la extensibilidad del software abre la puerta a vulnerabilidades de seguridad, como la autenticación laxa y la pérdida de datos por el rastreo de datos sin cifrar. Las responsabilidades de los desarrolladores incluyen cada vez más la conciencia de seguridad: deben usar las mejores prácticas de seguridad para escribir código reforzado desde el principio y detectar posibles debilidades de seguridad en el código de otros.

Prueba de código. La seguridad es una parte importante de las pruebas de compilación dentro del flujo de trabajo de DevOps, por lo que los desarrolladores deben implementar herramientas y servicios adicionales para analizar y evaluar la postura de seguridad de cada nueva compilación. Use ciertos conjuntos de herramientas, como Veracode, GauntIT y Mittn, para encontrar y corregir fallas de seguridad en binarios, o realice pruebas de penetración detalladas para probar una compilación de vulnerabilidades. Repare cualquier vulnerabilidad expuesta en las iteraciones posteriores antes de la implementación.

Infraestructura de TI. Operaciones tradicionalmente tienen la mayor responsabilidad de seguridad de TI. Pero debido a que DevOps integra el desarrollo y las operaciones, y cada vez más desarrolladores implementan compilaciones de forma independiente en la infraestructura de TI, reconsidere el papel de la infraestructura en la seguridad de la carga de trabajo.

En línea con las mejores prácticas de seguridad de DevOps, los equipos de operaciones deben configurar y aprovisionar cuidadosa y sistemáticamente cada servidor, conmutador u otro dispositivo dentro de la infraestructura para evitar problemas. Por ejemplo, considere el riesgo potencial de un servidor empresarial que pase por alto una práctica de seguridad simple y use una contraseña administrativa predeterminada. Documente y registre los cambios de configuración, y sométalos a auditorías de seguridad. Si bien estas son comúnmente tareas de administración de sistemas y administración de cambios, serán críticas en un flujo de trabajo de entrega e implementación de DevOps.

Operaciones cotidianas. Los problemas de seguridad persisten cuando una compilación se activa en un servidor empresarial. Ese software sirve al negocio y es el posible objetivo de innumerables amenazas externas e internas. Algunas organizaciones mantienen un equipo de seguridad complementario que utiliza herramientas variadas de detección y mitigación de amenazas para supervisar las cargas de trabajo y la infraestructura. Este equipo supervisa las métricas de carga de trabajo y rendimiento de la red, verifica las anomalías o intrusiones en la red y analiza los registros de aplicaciones y servidores. Mientras que el personal de seguridad de TI generalmente maneja estas responsabilidades, los desarrolladores reciben resultados de monitoreo.

Cumplimiento corporativo. Las fallas de software e infraestructura que comprometen la seguridad o la disponibilidad de la carga de trabajo también ponen en peligro el cumplimiento corporativo. Si una carga de trabajo y su entorno carecen de la seguridad adecuada, la empresa podría violar los acuerdos, incluso si no se produce ningún acto malicioso o pérdida, y corre el riesgo de multas o litigios. Por lo tanto, los equipos de DevOps deben interactuar con los interesados ​​en la aplicación y los líderes empresariales para garantizar que las cargas de trabajo cumplan con los requisitos de cumplimiento normativo o de la industria.

Entrenamiento y educación

El conocimiento es la mejor manera de prevenir problemas de seguridad de TI, por lo que los equipos de DevOps deben recibir capacitación en seguridad formal e informal. El personal puede obtener certificaciones integrales, como CompTIA Security+ o la certificación ISO 27001 en sistemas de gestión de seguridad de la información.

Los desarrolladores y el personal de operaciones también deben crear y mantener políticas y mejores prácticas de seguridad DevOps concretas para la organización. Esto es crítico en entornos donde un alto grado de automatización organiza los flujos de trabajo y aprovisiona recursos.

Investigue más sobre Gestión de la seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close