¿Qué es la seguridad de DevOps?

DevSecOps distribuye y comparte las responsabilidades de seguridad entre los distintos equipos de desarrollo, operaciones y seguridad implicados.

La necesidad de reforzar la seguridad de DevOps se debe a la omnipresencia de ciberamenazas activas que se han convertido en parte de la situación actual. El robo y el sabotaje no son elementos nuevos del comportamiento humano; solo se ha actualizado el tipo de materiales robados y las metodologías utilizadas para llevarlos a cabo. Los piratas modernos buscan cachés de datos lucrativos en lugar de tesoros de oro y utilizan el robo electrónico para llevar a cabo sus delitos.

Estos delincuentes se han vuelto tan expertos en explotar las vulnerabilidades de ciberseguridad dentro de los sistemas de software, en todos los niveles y etapas de desarrollo, que las organizaciones con visión de futuro ahora están adoptando formas de fortalecer y mejorar su postura de seguridad en cada fase del desarrollo. DevSecOps apoya plenamente esta misión de contrarrestar desafíos de seguridad como filtraciones de datos y otras vulnerabilidades dondequiera que puedan estar presentes en el proceso de desarrollo.

El auge de DevSecOps marca un cambio en las actitudes corporativas sobre los problemas de seguridad. En un momento dado, muchas organizaciones consideraban la seguridad de DevOps como algo secundario. Se implementaron controles de seguridad junto con otros controles finales realizados al final del SDLC. Esto a menudo creaba situaciones en las que podían surgir silos y ocultarse vulnerabilidades, y las correcciones finales que había que hacer costaban incluso más de lo que habrían costado si se hubieran detectado y solucionado antes.

Esas viejas actitudes aún existen, pero para la mayoría, la seguridad de DevOps ha avanzado significativamente. DevSecOps reconoce plenamente la complejidad avanzada de los muchos tipos de amenazas que ahora enfrentan los equipos de desarrollo de software, y busca abordar los problemas de ciberseguridad durante una etapa o desarrollo anterior y distribuir la responsabilidad compartida de contrarrestar los riesgos de seguridad entre más o todos los miembros del equipo relacionado.

Este concepto de incorporar una mayor seguridad en un proyecto desde una etapa temprana se conoce como “desplazamiento a la izquierda”. El término supone que el espectador está mirando una línea de tiempo de producción de izquierda a derecha. Participar en pruebas de desplazamiento hacia la izquierda significa integrar pruebas más exhaustivas en el extremo izquierdo del gráfico, cerca del inicio de la actividad del proyecto.

Inculcar y garantizar la seguridad requiere una serie de partes móviles y diferentes prácticas que operan en la coordinación adecuada.

Considérelo como el defensor en la puerta, evitando la entrada de intrusos no deseados. El control de acceso rige cómo se otorgan los permisos a las entidades que buscan acceder a los recursos digitales. Lo hace a través de procesos de autenticación que confirman la identidad individual y otorgan acceso privilegiado a usuarios especialmente autorizados. La gestión de acceso desempeña un papel clave en las empresas que cumplen con requisitos normativos como HIPAA, que protege la confidencialidad de los datos médicos de los pacientes.

El negocio de definir cómo debe comportarse el software recae en las infraestructuras de DevSecOps que existen. Las infraestructuras proporcionan información relacionada con las mejores prácticas, procesos relacionados y herramientas de seguridad. También explican cómo se integrará la seguridad en cada etapa del desarrollo y qué dependencias existen entre los diferentes componentes o sistemas de software. Esto ayuda a gestionar las vulnerabilidades y a proteger los entornos de producción.

En el proceso de ingeniería de sistemas de gestión de la configuración , se hace hincapié en garantizar que las características de un producto se mantengan constantes a lo largo de su ciclo de vida. No habría necesidad de gestionar la configuración si no fuera por la gran cantidad de cambios que un sistema de software tiene que absorber habitualmente. La gestión de la configuración garantiza que, a pesar de los cambios, el sistema funcione según lo previsto.

En lugar de asumir ciegamente que el software de la empresa es seguro, la gestión de vulnerabilidades asume que podría no serlo, y podría estar sujeto a cualquier cantidad de responsabilidades de seguridad. Es un enfoque muy proactivo, basado primero en identificar posibles vulnerabilidades mediante el escaneo de la base de código y luego emplear la corrección para arreglar esas vulnerabilidades antes de que puedan ser explotadas por delincuentes cibernéticos.

La gestión de secretos es otra disciplina relacionada que aborda la necesidad urgente y continua de información segura. Tal como parece, la gestión de secretos ayuda a los usuarios a almacenar y gestionar datos confidenciales como contraseñas, claves de cifrado (códigos secretos para proteger los datos) y claves API que autorizan aplicaciones cuando interactúan con una interfaz de programación de aplicaciones (API).

Los entornos en la nube suelen ser repositorios de datos muy complejos, por lo que necesitan la protección adicional que ofrece DevSecOps. Las aplicaciones nativas de la nube deben funcionar rápidamente, y DevSecOps ayuda asegurándose de que funcionen sin problemas, incluso con sus ciclos de desarrollo rápidos. La seguridad de DevOps también protege las cargas de trabajo de configuraciones erróneas y otras amenazas cibernéticas.

Es fácil decir que una empresa está dedicando esfuerzos adicionales a mantener medidas de seguridad eficaces. Sin embargo, para que una organización alcance plenamente sus objetivos de seguridad, deberá adoptar las mejores prácticas de seguridad además de procesos eficaces de DevOps. Estos son algunos de los conceptos clave que contribuyen al éxito de DevSecOps.

Hay bastante especialización presente entre varios esquemas de pruebas de DevSecOps, como puede ver en estos ejemplos:

• Pruebas de seguridad de aplicaciones (AST): como su nombre indica, las pruebas de seguridad de aplicaciones (AST) se ocupan de evaluar los problemas de seguridad que afectan a las aplicaciones. AST abarca una variedad de pruebas muy únicas, cada una con su propio enfoque en el proceso de DevOps.    
  • Las pruebas estáticas de seguridad de aplicaciones (SAST) permiten a los evaluadores detectar vulnerabilidades de seguridad en una aplicación mediante el análisis del código fuente, bytecode o código binario.
  • Las pruebas dinámicas de seguridad de aplicaciones (DAST) son un proceso de ciberseguridad en el que se ejecutan las aplicaciones y se comprueba su comportamiento en busca de anomalías. DAST permite a los equipos ver cómo reaccionarán las aplicaciones a los ciberataques del mundo real.
• Pruebas de penetración: las pruebas de penetración adoptan la forma de un ciberataque simulado (provocado por un experto en seguridad que se hace pasar por hacker) en una aplicación, red o sistema. Básicamente, se trata de un simulacro de incendio en el que la infraestructura de seguridad de una organización se enfrenta a un ataque intruso para ver si los recursos de la organización pueden soportar el daño y seguir operando según las necesidades.
• Análisis de la composición del software: el análisis de la composición del software evalúa los componentes de software que conforman una aplicación y comprueba si existen posibles vulnerabilidades. Dichos componentes incluyen código de terceros y bibliotecas de código abierto. El análisis de la composición del software también ayuda a respaldar el cumplimiento de las licencias.

La metodología de DevSecOps es versátil y se puede aplicar a una variedad de propósitos de programación:

• Kubernetes: la plataforma Kubernetes trabaja de la mano con las prácticas de DevSecOps, especialmente en lo que respecta a la mejora de la seguridad a aplicaciones e infraestructuras contenedorizadas. Kubernetes promueve una infraestructura basada en la seguridad donde las amenazas se detectan, analizan y desactivan de manera efectiva, desde el inicio del desarrollo hasta el despliegue y el tiempo de ejecución (que es el período en que se ejecuta el programa informático).
• Microservicios: los microservicios surgen de la idea de que una aplicación puede construirse a partir de una serie de servicios más pequeños, acoplados de manera flexible y de naturaleza independiente. Si bien esto permite aplicaciones que tienen más escalabilidad y agilidad y pueden introducirse en un ciclo de lanzamiento más rápido, las arquitecturas de microservicios son intrínsecamente más complejas y, por lo tanto, necesitan la ayuda de seguridad adicional que ofrece DevSecOps.   
• Cadenas de suministro: las cadenas de suministro se benefician enormemente de DevSecOps. Las cadenas de suministro pueden ser terriblemente complicadas, y tales complejidades a menudo brindan a los hackers oportunidades para ocultar malware. La gestión de la cadena de suministro requiere un entorno de producción "limpio", y DevSecOps ayuda a fomentarlo.