carloscastilla - Fotolia

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Consejos para una transformación a DevSecOps sin problemas

DevSecOps es una progresión natural de DevOps y distribuye las responsabilidades de seguridad a otros equipos de TI. ¿Dónde empezar? Estos son conceptos básicos, herramientas útiles y formas de aprender más.

La infraestructura de TI corporativa experimenta cambios rápidos y fundamentales con la evolución de las plataformas y los servicios en la nube. En 2020, la pandemia mundial obligó a un ajuste inmediato en los patrones de trabajo y la priorización de proyectos. Estos dos factores significan que las organizaciones comerciales y gubernamentales deben considerar una transformación DevSecOps para garantizar la seguridad continua en la nueva era de trabajo remoto e infraestructuras híbridas.

DevSecOps, un término que abarca los esfuerzos combinados de los equipos de desarrollo, seguridad y operaciones de TI, es un avance sobre DevOps. Hace que todos los participantes sean responsables de las prácticas y estándares de seguridad, no solo del atormentado equipo de ciberseguridad. Más escuelas de pensamiento en ciberseguridad adoptan esta noción, y DevSecOps proporciona los procesos y herramientas para hacer que este cambio se convierta en realidad.

Conceptos de DevSecOps que dominar

Hay muchas formas de integrar la seguridad en el desarrollo y las operaciones de software. El modelado de amenazas, la inteligencia de amenazas compartida, el principio de privilegios mínimos, las pruebas automatizadas y el aislamiento de contenedores son fundamentales para una transformación a DevSecOps.

El modelado de amenazas es una forma de optimizar la seguridad de la red pensando un paso por delante de los atacantes. Identifica los posibles vectores de ataque y luego mapea las contramedidas para mitigar las amenazas esperadas para el sistema. Por ejemplo, el modelado de amenazas puede trazar posibles contramedidas para un ataque de denegación de servicio.

La inteligencia de amenazas compartida, un principio del manifiesto DevSecOps, significa propagar lo que sabe sobre una amenaza de seguridad en la industria y más allá. Busque iniciativas de la industria y el gobierno, como el Intercambio de Indicadores Automatizados (AIS) del Departamento de Seguridad Nacional de EE. UU. y la Organización de Estándares ISAO, para participar.

Las organizaciones que implementan una transformación DevSecOps deben adherirse al principio de privilegios mínimos como una mejor práctica para todos los servicios y personas que leen, escriben o actualizan datos. El privilegio mínimo significa que solo deben tener permiso para acceder a lo que necesitan para completar la tarea, y nada más. Espere algún choque cultural –y fuertes quejas– si los desarrolladores y administradores de sistemas pierden el tipo de acceso a los sistemas corporativos de desarrollo, prueba y producción que tenían antes de que se aplicara el principio de privilegio mínimo.

Las pruebas de seguridad automatizadas deberían formar parte de los procesos de prueba de aceptación del software. Estas pruebas incluyen la validación de entrada y garantizar que los pasos de autenticación y autorización funcionen correctamente. Si bien las pruebas automatizadas no pueden reemplazar a un probador de control de calidad experimentado, la automatización puede funcionar como un multiplicador de fuerza para el código seguro.

Las organizaciones de DevOps a menudo adoptan contenedores como una forma de mover el código del desarrollo a la prueba y a la producción de manera rápida y predecible. Los adoptantes de DevSecOps deben centrarse en el aislamiento de los contenedores. Deben diseñarse sin dependencias que los conviertan en un objetivo de los atacantes. Los contenedores no tienen estado y, a menudo, encapsulan solo una parte de la aplicación general. Por ejemplo, el código de la aplicación en un contenedor se basa en los datos de otro. Un contenedor de base de datos defectuoso puede, por sí mismo, convertirse en un vector de ataque, porque los contenedores de aplicaciones que acceden a la base de datos se vuelven susceptibles. El aislamiento es fundamental para la seguridad de los contenedores en DevSecOps.

Herramientas de DevSecOps que dominar

Hay muchas herramientas para el desarrollo, las operaciones de TI y las tareas de seguridad, lo que significa combinaciones ilimitadas de herramientas que las organizaciones pueden utilizar. A continuación, se muestra una selección de las principales herramientas que pueden contribuir al desarrollo compartido, la seguridad y los objetivos operativos de una transformación a DevSecOps.

Plataforma de automatización Red Hat Ansible. La plataforma de automatización de Ansible incluye Ansible Tower, Ansible Network Engine y Ansible Network Automation. Los equipos de DevSecOps pueden utilizar estas herramientas de forma individual o conjunta para la automatización de TI sin agentes. Utilice Ansible Automation para definir reglas de seguridad para proyectos de desarrollo de software, por ejemplo.

Grafana. Esta plataforma de análisis de código abierto permite a los equipos de TI crear paneles personalizados donde agregan todos los datos operativos y de seguridad relevantes para los equipos de operaciones y otras partes interesadas. Hay paneles de control creados por la comunidad disponibles para un inicio rápido, o las organizaciones pueden crear los suyos propios.

Kibana. Para las organizaciones que usan Elasticsearch, Kibana es una herramienta de código abierto que integra hasta miles de entradas de registro en una vista unificada de análisis de series de tiempo, monitoreo de aplicaciones y datos operativos.

ThreatModeler. Esta plataforma automatizada de modelado de amenazas viene en varias ediciones, como AppSec y Cloud. ThreatModeler analiza los datos y se basa en la inteligencia de amenazas para identificar automáticamente las amenazas potenciales en toda la superficie de ataque.

OWASP Threat Dragon. Esta herramienta de código abierto crea diagramas del sistema y cuenta con un motor de reglas para modelar y mitigar las amenazas automáticamente. El dispositivo promociona una interfaz fácil de usar e integración con otras herramientas de DevOps.

Chef InSpec. Esta herramienta de la empresa de gestión de configuración Chef automatiza las pruebas de seguridad para ayudar a garantizar el cumplimiento de los requisitos de seguridad y relacionados. Chef InSpec se ejecuta en contenedores, API en la nube e incluso servidores locales, por lo que es una herramienta de prueba a considerar para la infraestructura híbrida.

Micro Focus Fortify. Fortify es una plataforma de seguridad de aplicaciones de extremo a extremo con opciones para realizar pruebas bajo demanda para cubrir todo el ciclo de vida del desarrollo de software. Micro Focus también ofrece Fortify on Demand, seguridad de aplicaciones como servicio que integra pruebas de seguridad de aplicaciones estáticas y dinámicas con el monitoreo continuo de aplicaciones de producción.

GitLab. Esta herramienta de ciclo de vida de software prueba cada fragmento de código al confirmarlo. Al hacerlo, permite a los desarrolladores corregir las vulnerabilidades de seguridad durante el desarrollo, no como el último paso antes de que el código se envíe a producción. GitLab también proporciona un panel detallado que muestra todas las vulnerabilidades de código detectadas.

Red Hat OpenShift. Esta plataforma, basada en Kubernetes, admite el proceso de creación de contenedores con funciones de seguridad. Proporciona control de acceso basado en roles, aislamiento de Linux con seguridad mejorada (generalmente llamado SELinux) y verificaciones durante el proceso de construcción del contenedor.

Certificaciones y capacitación para una transición a DevSecOps

El liderazgo corporativo está obligado a preguntar qué certificaciones son necesarias para que los empleados tengan éxito con una transformación DevSecOps. Hay dos escuelas de pensamiento sobre la certificación: uno dirá que la certificación es innecesaria; los otros defienden una variedad de rutas de certificación.

Para las organizaciones que buscan la certificación para complementar su capacitación en DevSecOps, existen varias opciones. El DevOps Institute ofrece su certificación DevSecOps Engineering (DSOE), y Practical-DevSecOps.com ofrece una certificación DevSecOps Professional (CDP) certificada. La certificación DevSecOps de los proveedores es escasa, pero esté atento a que surjan a medida que los esfuerzos de transformación digital se expanden en respuesta a COVID-19.

Busque un proveedor de capacitación de buena reputación que ofrezca clases dirigidas por profesionales que cubran temas que se ajusten a su estrategia de transformación DevSecOps. Por ejemplo, SANS Institute ofrece SEC534: Secure DevOps: una introducción práctica, y SEC540: Cloud Security y DevOps Automation. Ambos cursos podrían servir como capacitación fundamental para el personal de TI que está aprendiendo los aspectos básicos de DevSecOps.

Además, cuente con capacitación justo a tiempo. Los proveedores de DevSecOps tienen videos cortos en línea como parte de su documentación en línea que pueden facilitar la adopción, por ejemplo. Si cuenta con el presupuesto de personal o contratista, evalúe formas de crear y publicar contenido de capacitación de DevSecOps internamente a través de la intranet o el sistema de gestión de aprendizaje de su organización.

Más allá de los equipos de desarrollo, seguridad y operaciones, los profesionales de cumplimiento y gestión de riesgos, los auditores y las partes interesadas de la gestión necesitan formación. Presénteles los conceptos de DevSecOps y los cambios que pueden esperar ver en la entrega de software de la empresa.

Investigue más sobre Estrategias y tips de gestión

Close