sdecoret - stock.adobe.com

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Los beneficios de seguridad de usar la infraestructura como código

La infraestructura como código refuerza la seguridad y garantiza que las mejores prácticas de seguridad estén integradas en el desarrollo de software. Obtenga más información sobre el uso de modelos de infraestructura como código.

Las plataformas de computación en la nube bajo demanda, como AWS, Microsoft Azure y Google Cloud Platform, permiten a sus clientes revisar los informes de seguridad y cumplimiento, las certificaciones, las acreditaciones y otras certificaciones de terceros que validan la implementación y la efectividad operativa de los controles de seguridad utilizados para asegurar sus productos y servicios. Por ejemplo, AWS Artifact es un portal de autoservicio para el acceso sobre pedido a los informes de cumplimiento de AWS, y Microsoft ofrece un acceso similar a los informes a través de su centro de confianza y el portal de confianza de servicio.

Estos informes y recursos no solo ayudan a los clientes a rastrear y administrar sus propias actividades de cumplimiento normativo dentro de la nube, sino que también brindan información valiosa sobre los controles físicos, de infraestructura y operativos que son necesarios para cumplir con varias normas y regulaciones de seguridad. Si bien los recursos de IaaS y PaaS de estos proveedores pueden ajustarse a las mejores prácticas de la industria, no garantizan que el uso y la implementación propia de un cliente cumplan con los mismos estándares. De hecho, existe el peligro de que algunos ingenieros de redes responsables de diseñar y construir los servicios basados ​​en la nube de su organización cometan el mismo error que muchos desarrolladores de software cometen: copiar y pegar ejemplos de código directamente desde la web en plantillas que están diseñadas para ser utilizadas en producción.

Beneficios de seguridad de la infraestructura como código

La infraestructura como código es la administración de una infraestructura de TI mediante scripts legibles por máquina o archivos de definición, en lugar de confiar en procesos de configuración manual, utilizando las mismas técnicas de control de versiones para el código fuente que los equipos de desarrollo de software. Un modelo de infraestructura como código genera el mismo entorno cada vez que representa el estado deseado de los entornos a través del código, lo que permite a los equipos proporcionar entornos estables y consistentes, rápidamente y en escala. Esta automatización puede eliminar los riesgos de seguridad asociados con los errores humanos y prevenir los problemas de tiempo de ejecución causados ​​por la desviación de la configuración, siempre y cuando el código resulte en una infraestructura de TI segura.

Muchas de las guías de usuario y desarrollador, las referencias a la API y los tutoriales proporcionados por los proveedores de la plataforma en la nube incluyen configuraciones de ejemplo y fragmentos de código, pero a menudo no están escritos teniendo en cuenta la seguridad y tienden a simplificarse para explicar cómo funciona una característica o función. Los ejemplos de código de terceros e independientes y las instrucciones también tienden a usar configuraciones de infraestructura inseguras, como habilitar el acceso SSH a los recursos desde cualquier dirección IP, para evitar el exceso de complicaciones de las instrucciones paso a paso. Aunque muchos documentos y artículos incluyen advertencias de que la configuración utilizada no es segura para los entornos de producción, sin la capacitación adecuada y las revisiones de códigos, existe el peligro real de que las configuraciones de seguridad débiles o inseguras puedan llegar a los entornos de producción.

Incluir seguridad en el código

Los responsables de la seguridad de un proyecto deben asegurarse de que exista un marco sólido para incorporar prácticas de seguridad en todo el proceso de desarrollo de la aplicación, incluido el desarrollo del código para crear, configurar y desplegar la infraestructura en la que se ejecutará la aplicación o el servicio. La mala configuración de la seguridad ha estado durante mucho tiempo en el Top 10 de los riesgos de seguridad más críticos para las aplicaciones web, del Proyecto de Seguridad de Aplicaciones Web Abiertas (OWASP), y si los equipos de desarrollo cortan y pegan ejemplos sin leer las implicaciones de seguridad de una configuración particular en la documentación relevante, el problema solo empeorará.

AWS introdujo más de 1,000 nuevas características en su flota de servicios en 2018, por lo que es esencial brindar capacitación continua a los desarrolladores de software y administradores de infraestructura de TI que participan en un proyecto en la nube. El recorrido del código, donde los desarrolladores detallan la estructura y el propósito de su código y la razón detrás del resto del equipo, es una excelente manera de garantizar que todos entiendan cómo se está construyendo y asegurando la infraestructura de TI, además de brindar oportunidades para detectar y corregir errores o descuidos. El uso de un repositorio de códigos para el código de infraestructura de un proyecto también es esencial, ya que proporciona control de versiones y seguimiento de los cambios en el código y garantiza una mejor administración de códigos antes y después de la implementación, con opciones de reversión si hay un problema.

Los proyectos y aplicaciones de software se están volviendo más complejos, al igual que las infraestructuras en las que se ejecutan, por lo que es vital que se cumplan los estándares de codificación segura en todos los aspectos de la base de código del proyecto. Los modelos de infraestructura como código podrían beneficiar los esfuerzos de estandarización.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close