@media screen and (min-width: 580px) { .flotantewhatsapp{ display:none; } }

Compartir por WhatsApp

devsecops-seguridad-en-el-cloud-computing-1

DevSecOps: Seguridad en el Cloud Computing

DevSecOps: Seguridad en el Cloud Computing

Durante este tiempo, hemos hablado de DevOps, se trata de una filosofía que nos permite integrar metodologías ágiles en el desarrollo de software.

¿Qué es DevSecOps?

DevSecOps se podría explicar como otra filosofía de integración de métodos de seguridad en un proceso DevOps. Al igual que DevOps, depende en gran medida de la automatización. Así que el objetivo es automatizar todos los procesos de seguridad, como, por ejemplo, una auditoría de seguridad.

El modelo de servicio IT basado en Cloud y el constante aumento de las amenazas informáticas, necesita que el concepto de seguridad informática se vuelva a evaluar, dado que es clave en el Cloud Computing.

Será necesario controlar, ya que probablemente dejemos nuestros datos más sensibles o los de nuestra empresa en un proveedor externo:

  • Los datos y su localización
  • Tener claro el modelo de servicio Cloud de nuestro proveedor
  • Los niveles de servicio, tanto en la disponibilidad como en la integridad del dato
  • Plan de continuidad de negocio, evaluando todos los riesgos

El problema de este modelo, es que los proveedores de servicios Cloud, sólo se responsabilizan de la infraestructura y de sus centros de datos, y es en última instancia el usuario o la empresa, la que tiene que velar por sus propios datos. Que se lo digan a los diferentes usuarios de OVH que se vieron afectados por la caída del CPD y que no tenían copias de seguridad externas…

devsecops-seguridad-en-el-cloud-computing-2

Vulnerabilidades más comunes en un entorno Cloud

Dentro de las vulnerabilidades o problemas más recurrentes están:

  • Robo de cuentas de acceso de un usuario, debido a una gestión accesos deficientes
  • Ataques desde el interior
  • Pérdida de datos ante borrados accidentales o catástrofes
  • Análisis de riesgos defectuosos
  • Ataques de denegación de servicio (DoS)
  • Vulnerabilidades por compartir infraestructuras físicas o aplicaciones
  • APIs o sistemas operativos inseguros

Aquí es donde la filosofía DevSecOps, debería incorporarse a DevOps. Vamos a hablar de sus beneficios y las mejores prácticas.

Mejores prácticas de implantar DevSecOps

  • Si os dedicáis a gestionar sistemas IT, seguro que sois conscientes que el punto más débil de todo sistema IT no es el propio sistema, sino el usuario que hay detrás de él. Uno de los aspectos más importantes de DevSecOps es desafiar la forma en que los equipos de seguridad tradicionales se integran con el negocio en general. Cambiar malos hábitos y crear conciencia en todos los niveles de una empresa no son tareas fáciles y requieren un enfoque de arriba hacia abajo para que las actitudes cambien (mejorar procesos de seguridad, desarrollo y formar al personal en buenas prácticas)
  • Mejorar los accesos y la gestión de identidades
  • Integrar la seguridad desde la primera etapa del proyecto, como es la definición de requisitos.
  • Automatizar políticas de cumplimiento mediante metadatos que se puedan integrar fácilmente
  • Usar herramientas IT de seguridad (tipo Vulnerability Management), que permitan a los equipos automatizar escaneos mediante la integración de la API
  • Hay que realizar búsquedas de amenazas de forma proactiva y preventiva, mediante flujos de trabajo y planes de acción
  • Realizar auditorías externas con cierta frecuencia, por equipo o consultores externos, tanto a nivel de App como de Infraestructura
  • Automatizar procesos que se repiten en el tiempo
  • Cuidar a nivel de seguridad, tanto los Hosts como las Apps
  • Parcheo y escaneo de código fuente sobre CI/CD
  • Disponer de herramientas de escaneo DAST
  • Gestión de secretos para eliminar los errores humanos
  • Plan de contingencia bien estudiado (backups, recuperación…)

Beneficios de implantar DevSecOps

Como podéis pensar, implementar esta metodología no es algo sencillo, pero es verdad que sí puede traer a corto y largo plazo grandes beneficios:

  • Reduce los costes antes problemas de seguridad
  • Al tener menos agujeros de seguridad, se aumenta la velocidad de entrega
  • Evitaremos infracciones o denuncias por parte de nuestros clientes ante un problema de seguridad
  • Código más transparente desde las primeras etapas de desarrollo
  • Si tienes que vender un producto, y demuestras que es seguro, es probable que aumentes las ventas
  • Fomentamos la mejora continua de nuestro código, ya que constantemente será analizado ante vulnerabilidades

Espero que os parezca interesante… 🙂

¿Te ha gustado la entrada SÍGUENOS EN TWITTER O INVITANOS A UN CAFE?

El Blog de Negu

Acerca de Raul Unzue Pulido

Administrador de sistemas virtuales e infraestructuras IT, linuxero y entusiasta de la tecnología.

Compruebe también

script-revisar-el-cambio-de-ip-publica-1

Script: Revisar el cambio de IP Pública

Script: Revisar el cambio de IP Pública Hoy os voy a enseñar como comprobar vuestra …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

veinte − 9 =

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies
Blog Maquinas Virtuales - El Blog de Negu