¿Qué es DevSecOps?

DevSecOps significa desarrollo, seguridad y operaciones. Se trata de un enfoque que aborda la cultura, la automatización y el diseño de plataformas, e integra la seguridad como una responsabilidad compartida durante todo el ciclo de vida de la TI.

DevOps no solo concierne a los equipos de desarrollo y operaciones. Si desea aprovechar al máximo la agilidad y la capacidad de respuesta de los enfoques de DevOps, la seguridad de la TI también debe desempeñar un papel integrado en el ciclo de vida completo de sus aplicaciones.

¿A qué se debe? Antes, el papel de la seguridad estaba aislado y a cargo de un equipo específico en la etapa final del desarrollo. Cuando los ciclos de desarrollo duraban meses o incluso años, no pasaba nada. Pero eso quedó en el pasado. Una metodología efectiva de DevOps garantiza ciclos de desarrollo rápidos y frecuentes (a veces de semanas o días), pero las prácticas de seguridad obsoletas pueden revertir incluso las iniciativas de DevOps más eficientes.

Actualmente, en el marco de trabajo en colaboración de DevOps, la seguridad es una responsabilidad compartida e integrada durante todo el proceso. Puesto que es un enfoque tan importante, se acuñó el término "DevSecOps" para enfatizar la necesidad de crear una base de seguridad en las iniciativas de DevOps.

Esta práctica implica pensar desde el principio en la seguridad de las aplicaciones y de la infraestructura. También implica automatizar algunas puertas de seguridad para impedir que se ralentice el flujo de trabajo de DevOps. A fin de cumplir con estos objetivos, es necesario seleccionar las herramientas adecuadas para integrar la seguridad de manera permanente, como acordar el uso de un entorno de desarrollo integrado (IDE) con funciones que protejan los sistemas. Sin embargo, la seguridad efectiva de DevOps requiere más que herramientas nuevas; se basa en los cambios culturales de DevOps para integrar el trabajo de los equipos de seguridad lo antes posible.

Ya sea que lo llame "DevOps" o que prefiera "DevSecOps" para incorporar en el nombre la seguridad, lo ideal siempre ha sido incluirla como parte integral de todo el ciclo de vida de la aplicación. El término DevSecOps no se refiere a un perímetro de seguridad que rodea las aplicaciones y los datos, sino a la seguridad integrada. Si sigue quedando al final del proceso de desarrollo, las empresas que adoptan DevOps corren el riesgo de volver a los largos ciclos que pretendían evitar desde el principio.

En parte, DevSecOps destaca la necesidad de que los equipos y los partners de seguridad adopten las iniciativas de DevOps desde el comienzo para incorporar medidas de protección de la información y establecer un plan para automatizarlas. Además, subraya la necesidad de ayudar a los desarrolladores a escribir el código teniendo en cuenta la seguridad, lo cual implica que los equipos encargados de esta área compartan el conocimiento, los comentarios y la información valiosa sobre las amenazas conocidas, como las amenazas internas o posible malware. Posiblemente esto también implique que los desarrolladores tengan que capacitarse en seguridad, ya que el método tradicional para desarrollar aplicaciones no siempre ha hecho hincapié en el tema.

¿Qué significa la seguridad integrada en concreto? Para empezar, una buena estrategia de DevSecOps implica determinar la tolerancia a los riesgos y realizar un análisis de riesgos y beneficios al respecto. ¿Qué cantidad de controles de seguridad es necesaria en cierta aplicación? ¿Qué tan importante es la velocidad de comercialización para diferentes aplicaciones? La automatización de las tareas repetidas es clave para DevSecOps, ya que la ejecución de comprobaciones de seguridad manuales en el proceso puede requerir mucho tiempo.

Mantenga ciclos de desarrollo cortos y frecuentes, integre medidas de seguridad con una interrupción mínima de las operaciones, manténgase al día con las tecnologías innovadoras (como los contenedores y los microservicios) y, al mismo tiempo, fomente una colaboración más estrecha entre los equipos que suelen estar aislados, lo cual es una tarea difícil para cualquier empresa. Todas estas iniciativas comienzan a nivel humano, con los pormenores de la colaboración en su empresa, pero la automatización facilita esos cambios humanos en un marco de DevSecOps.

¿Pero qué conviene automatizar y cómo se puede hacer? Hay una guía escrita que lo ayudará a responder estas preguntas. Las empresas deben dar un paso atrás y considerar todo el entorno de desarrollo y operaciones. Esto incluye los repositorios de control de código fuente, los registros de contenedores, el canal de integración e implementación continuas (CI/CD), la gestión de la interfaz de programación de aplicaciones (API), la organización y la automatización de los lanzamientos, y la gestión y la supervisión de las operaciones.

Las nuevas tecnologías de automatización han ayudado a que las empresas adopten prácticas de desarrollo más ágiles y también han contribuido a impulsar la creación de nuevas medidas de seguridad. Pero la automatización no es lo único que ha cambiado en el panorama de TI durante los últimos años; las tecnologías desarrolladas en la nube, como los contenedores y los microservicios, son ahora una parte importante de la mayoría de las iniciativas de DevOps, y la seguridad de la plataforma debe adaptarse para cumplir con ellas.

La mayor escalabilidad y la infraestructura más dinámica habilitadas por los contenedores han cambiado la forma de hacer negocios de muchas empresas. Debido a esto, las prácticas de seguridad de DevOps deben adaptarse al nuevo panorama y ajustarse a las pautas de seguridad específicas de los contenedores.

Las tecnologías nativas de la nube no son adecuadas para las listas de verificación y las políticas de seguridad estáticas. Por el contrario, la seguridad debe ser constante y estar integrada en cada etapa del ciclo de vida de la aplicación y la infraestructura.

DevSecOps significa integrar la seguridad al desarrollo de las aplicaciones durante todo el proceso. No solo requiere incorporar las herramientas nuevas, sino también adoptar un enfoque empresarial distinto. Los equipos de DevOps deben tener esto en cuenta al automatizar la seguridad para proteger el entorno y los datos por completo, así como el proceso de integración y distribución continuas. Este objetivo seguramente incluya la seguridad de los microservicios en contenedores.

Mire esta serie de webinars para conocer la opinión de los especialistas sobre la seguridad de toda la stack de aplicaciones en contenedores y su ciclo de vida.

Seguridad del entorno y de los datos

• Estandarice y automatice el entorno: los servicios deben tener la menor cantidad de privilegios posible para reducir las conexiones y los accesos no autorizados.

• Centralice las funciones de control de acceso y de identidad de los usuarios: el control de acceso estricto y los mecanismos de autenticación centralizados son fundamentales para proteger los microservicios, ya que la autenticación se inicia en varios puntos.

• Aísle de la red y entre sí aquellos contenedores que ejecutan microservicios: se incluyen tanto los datos en tránsito como en reposo, ya que ambos pueden ser objetivos de gran valor para los atacantes.

• Cifre los datos entre las aplicaciones y los servicios: una plataforma de organización de contenedores con funciones de seguridad integradas disminuye las posibilidades de accesos no autorizados.

• Incorpore puertas de enlace de API seguras: las API seguras aumentan la supervisión de los enrutamientos y las autorizaciones. Al disminuir la cantidad de API expuestas, las empresas pueden reducir las superficies de ataque.

Seguridad del proceso de CI/CD

• Integre el análisis de la seguridad para los contenedores: esto debería ser parte del proceso para agregar contenedores al registro.

• Automatice las pruebas de seguridad en el proceso de integración continua: esto incluye ejecutar las herramientas del análisis estático de la seguridad como parte de las compilaciones, así como examinar las imágenes prediseñadas de los contenedores para detectar los puntos vulnerables conocidos de seguridad a medida que se incorporan al canal de diseño.

• Incorpore pruebas automatizadas para las funciones de seguridad al proceso de pruebas de verificación: automatice las pruebas de validación de los datos de entrada, así como las funciones de verificación, autenticación y autorización.

• Automatice las actualizaciones de seguridad, como la aplicación de parches para los puntos vulnerables conocidos: lleve a cabo este proceso mediante el canal de DevOps. Esto elimina la necesidad de que los administradores inicien sesión en los sistemas de producción mientras crean un registro de cambios documentado y rastreable.

• Automatice las funciones de gestión de la configuración de los sistemas y los servicios: de esta manera, podrá cumplir con las políticas de seguridad y eliminar los errores manuales. También se recomienda automatizar los procesos de auditoría y corrección.

Conozca más sobre la seguridad CI/CD