Cómo implementar una solución integral de DevSecOps
La complejidad en torno a la protección del proceso de DevOps
Proteger el proceso de DevOps es una tarea compleja, porque sus herramientas evolucionan y cambian a un ritmo acelerado. A esto se suma el hecho de que los contenedores y Kubernetes generan una mayor complejidad y dan paso a nuevos vectores de ataque y riesgos de seguridad. Por eso, los equipos de desarrollo y operaciones deben lograr que la seguridad sea una parte integral de todo el ciclo de vida de las aplicaciones, lo cual permitirá proteger la infraestructura de TI esencial y los datos confidenciales, y estar a la altura de los cambios que se presentan.
Red Hat y nuestros partners de seguridad crearon un marco que ofrece un plan y una base sólida para distribuir soluciones de DevSecOps que se pueden implementar y ajustar con mayor eficacia. El marco de DevSecOps de Red Hat® aborda los requisitos de seguridad clave durante todo el ciclo de vida de DevOps, lo cual es parte de una estrategia de seguridad de protección integral. Red Hat y nuestros partners de seguridad simplifican la seguridad de DevOps y aceleran la adopción de DevSecOps para ayudarlo a reducir los riesgos.
Los partners de seguridad (como Anchore, Aqua, CyberArk, Lacework, NeuVector, Palo Alto Networks, Portshift, Snyk, StackRox, Synopsys, Sysdig, Thales, Tigera, Trend Micro y Tufin) potencian las funciones de seguridad propias de Red Hat. Para lograrlo, ofrecen soluciones de DevSecOps integrales que le permiten mejorar su estrategia de seguridad y aprovechar al máximo sus inversiones en Red Hat.
El marco de DevSecOps de Red Hat proporciona una base sólida para implementar una solución de DevSecOps integral y con gran capacidad de ajuste.
El marco completo aborda una serie de métodos de seguridad
El marco de DevSecOps de Red Hat identifica 9 categorías de seguridad y 32 métodos y tecnologías que abordan todo el ciclo de vida de las aplicaciones. Asimismo, coloca las funciones integradas de Red Hat, las cadenas de herramientas de DevOps y las soluciones de los partners de seguridad en los puntos clave de integración del canal. Usted podrá implementar algunos o todos los métodos y las tecnologías dentro de una categoría, en función del alcance de su entorno de DevOps y de sus requisitos específicos.
Seguridad de la plataforma
Es fundamental que proteja su plataforma de Kubernetes. Sin embargo, prepararla para admitir las aplicaciones esenciales de la empresa de forma segura, confiable y ajustable no es nada sencillo. De hecho, dos de los principales desafíos que enfrentan las empresas son la implementación y la gestión de Kubernetes1. Red Hat OpenShift® es una plataforma de contenedores de Kubernetes empresarial que no solo elimina la complejidad y los obstáculos que impiden llevar a cabo su adopción, sino que también incluye varias funciones de seguridad de la plataforma integradas.
El marco de DevSecOps de Red Hat ofrece funciones básicas que permiten proteger el host de contenedores subyacente (Red Hat Enterprise Linux® y Red Hat CoreOS) y la plataforma de contenedores. La mayoría de las funciones de seguridad de Red Hat se habilitan de forma predeterminada, lo cual simplifica la implementación y reduce los riesgos. Estas le permiten proteger los límites de los contenedores y evitar ciertas filtraciones que puedan comprometer al host.
Métodos de seguridad de la plataforma
- Seguridad del host: ofrece controles de acceso obligatorios con SELinux, instalaciones del kernel para controlar las llamadas al sistema con un modo de computación segura (seccomp) y funciones del kernel para aislar la CPU, la memoria y otros recursos con los cgroups, o grupos de control.
- Seguridad de la plataforma de contenedores: ofrece CRI-O, que le permite obtener un tiempo de ejecución de los contenedores ligero, y Quay, una herramienta con la que puede llevar un registro seguro de las imágenes de contenedores.
- Espacios de nombres de Linux: aíslan las aplicaciones de los equipos, los grupos y los departamentos.
- Fortalecimiento de Kubernetes y los contenedores: se aplican estándares como el NIST 800-190 y los indicadores de CIS.
Análisis de las aplicaciones
Si implementa la seguridad al comienzo del ciclo de vida de DevOps, podrá identificar los puntos vulnerables de la aplicación y otros problemas de seguridad desde el principio, lo cual evitará que tenga que repetir los mismos procesos más adelante.
Métodos de análisis de las aplicaciones
- Pruebas de seguridad de las aplicaciones estáticas (SAST): se utilizan para analizar el código mientras está en la etapa de desarrollo, ya que esto permite detectar puntos vulnerables y problemas de calidad.
- Análisis de la composición del software (SCA): analiza los paquetes dependientes que se incluyen en las aplicaciones para buscar puntos vulnerables conocidos y problemas con las licencias.
- Herramientas para realizar pruebas de seguridad de las aplicaciones interactivas (IAST) y dinámicas (DAST): se utilizan para analizar las aplicaciones en ejecución con el objetivo de encontrar los puntos vulnerables relacionados con este proceso.
El análisis de las aplicaciones también incluye métodos de seguridad, como la gestión de la configuración de GitOps, y funciones de gestión de riesgos de las imágenes de contenedores, lo que incluye el malware, los secretos integrados y las funciones de detección de errores de configuración.
Gestión de identidades y acceso
Los métodos de gestión de identidades y acceso (IAM) controlan el acceso a los datos, las aplicaciones y los recursos que se encuentran en las instalaciones y en la nube, en función de la identidad del usuario o la aplicación, y de las políticas definidas en el ámbito administrativo. Están presentes en todas las etapas del ciclo de vida de DevOps y se utilizan para evitar el acceso no autorizado al sistema y los movimientos laterales.
Métodos de gestión de identidades y acceso
- Controles de autenticación y autorización: verifican la identidad de los usuarios y las aplicaciones, y les brindan acceso a recursos y funciones específicos.
- Controles de acceso basado en funciones (RBAC): permiten que ciertos grupos de usuarios accedan a determinados recursos o funciones según sus responsabilidades laborales. Además, simplifican el proceso de administración e incorporación de empleados, y reducen la acumulación de privilegios.
- Proveedores de identidad, almacenes de secretos y módulos de seguridad de hardware (HSM): gestionan y protegen los secretos, los certificados, las claves y las credenciales de seguridad, ya sea que se encuentren en reposo o en tránsito.
Otros métodos de gestión de identidades y acceso incluyen las funciones de firma de imágenes y procedencia de las imágenes de contenedores, que se utilizan para validar su autenticidad y generar confianza.
Cumplimiento normativo
Estos métodos y tecnologías lo ayudan a cumplir no solo con las normas gubernamentales y del sector, sino también con las políticas empresariales. Automatizan la validación del cumplimiento y la respectiva elaboración de informes durante todo el proceso de DevOps, lo cual permite simplificar las auditorías y evitar multas y demandas normativas costosas.
Además, estos métodos permiten cumplir con una serie de normativas de seguridad de la información y privacidad de los datos, como por ejemplo:
- Estándar de Seguridad de Datos (DSS) para la Industria de Tarjetas de Pago (PCI).
- Estándar sobre la gestión de la seguridad de la información ISO 27001.
- Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) de Estados Unidos.
- Reglamento general de protección de los datos (GDPR) de la Unión Europea.
Controles y segmentación de las redes
Los métodos relacionados con el control y la segmentación de las redes le permiten controlar, segmentar y visualizar el tráfico de Kubernetes. Además, podrá aislar a los usuarios y proteger los flujos de comunicación entre las aplicaciones en contenedores y los microservicios.
Métodos de control y segmentación de las redes
- Políticas de seguridad de la red de Kubernetes: controlan los flujos de tráfico en el puerto o la dirección IP, y se pueden mejorar con los controles de tráfico de entrada y salida de los clústeres, los procesos de registro y la visualización de la red.
- Redes definidas por software (SDN): ofrecen una estructura de red que se puede ajustar y programar, la cual se implementa de inmediato para cumplir con los requisitos de seguridad dinámicos y satisfacer las demandas empresariales en constante evolución.
- Red de servicios: permite la segmentación y visualización de la red, y habilita los procesos de autenticación y autorización para las aplicaciones en contenedores y los microservicios.
Sistemas de control de datos
Los métodos y las tecnologías de control de datos son útiles para proteger la integridad de los datos y evitar su divulgación no autorizada. Gracias a que resguardan los datos en reposo y en movimiento, puede proteger la propiedad intelectual y la información confidencial de sus clientes.
Métodos de control de datos
- Cifrado de datos: ofrece funciones de gestión de claves, criptografía de los datos, creación y uso de tokens, y ocultamiento de los datos para evitar la divulgación no autorizada de la información que se encuentra en las bases de datos, los archivos y los contenedores.
- Protección de datos: ayuda a identificar y clasificar los datos, así como también a supervisar y auditar las actividades, para proteger los datos confidenciales y mejorar el cumplimiento normativo.
Análisis y protección de los tiempos de ejecución
Los métodos de protección del tiempo de ejecución en la producción ayudan a identificar y reducir inmediatamente las actividades sospechosas y maliciosas, lo que a su vez permite mantener el clúster en perfecto estado.
Métodos de análisis y protección del tiempo de ejecución
- Controlador de admisión: su función es proteger el acceso a Kubernetes, ya que controla y determina lo que se puede ejecutar en el clúster y lo que no.
- Análisis del comportamiento de las aplicaciones en tiempo de ejecución: analiza la actividad del sistema y detecta de manera inteligente e inmediata las actividades sospechosas o maliciosas.
- Autoprotección de las aplicaciones en tiempo de ejecución (RASP): detecta y bloquea de manera inmediata los ciberataques.
- Gestión de las API: controla el acceso a las API y protege el tráfico de ellas.
Auditoría y supervisión
Los métodos de auditoría y supervisión proporcionan información sobre los problemas de seguridad en el entorno de producción. Especifican el momento en que ocurrió el evento y brindan información sobre la posible causa de su origen y el impacto sobre el entorno, lo que ayuda a mejorar la visibilidad y agilizar la capacidad de respuesta ante incidentes.
Algunos de los métodos de auditoría y supervisión son:
- Gestión de la información y los eventos de seguridad (SIEM): se encarga de centralizar los informes de los eventos. Para lograrlo, unifica los registros y los datos del flujo de la red que provienen de los distintos dispositivos, extremos y aplicaciones distribuidos.
- Análisis forense: proporciona información sobre los fallos de seguridad y pruebas que respaldan las auditorías de cumplimiento y, además, acelera las iniciativas de recuperación.
Resolución de problemas
En caso de que surjan problemas de seguridad durante la etapa de producción, estos métodos le permitirán tomar medidas de corrección inmediatas y, así, mejorar el tiempo de actividad y evitar la pérdida de datos.
Métodos de resolución de problemas
- Plataformas de organización, automatización y respuesta de la seguridad (SOAR): le permiten automatizar las acciones e integrarlas con otras herramientas para responder a los problemas de seguridad.
- Resolución de problemas de raíz: se encarga de resolver de manera automática los problemas relacionados con los errores de configuración de Kubernetes y el incumplimiento de las políticas.
Conclusión
El marco de DevSecOps de Red Hat proporciona una base sólida y con capacidad de ajuste que le permite ampliar la seguridad de DevOps y reducir los riesgos. Red Hat y nuestros partners de seguridad ofrecen la tecnología que necesita para simplificar y agilizar la implementación de DevSecOps en su empresa. Comuníquese con nosotros para obtener más información.
Vizard, Mike. "Survey Sees Kubernetes Enterprise Adoption Gains". Container Journal, marzo de 2020.