Cinco consejos de seguridad para entornos DevOps

5 noviembre, 2019
14 Compartido 1,373 Visualizaciones

A medida que las empresas y organizaciones buscan aprovechar cada vez más los beneficios de los entornos basados en DevOps, también reconocen la necesidad crítica de proteger este tipo de herramientas.

CyberArk ofrece cinco recomendaciones sobre cómo los CISOs y sus equipos de seguridad deberían priorizar la protección de las herramientas y procesos DevOps, unos consejos resumidos en los siguientes puntos:

  1. Establecer y aplicar políticas para la selección y configuración de herramientas DevOps. Como no se puede proteger lo que no se conoce, el primer paso es elaborar un inventario completo de las herramientas DevOps que utilizan los equipos de desarrollo. Se trata de una tarea realmente importante para las herramientas de código abierto, ya que el 58% de las empresas actuales utiliza este código, en gran medida, para suavizar el proceso de aprendizaje. A continuación, se debe realizar una evaluación exhaustiva para identificar cualquier deficiencia de seguridad existente y abordarla de inmediato. Además, hay que comprobar que las herramientas no se utilicen con una configuración predeterminada no segura y  que estén actualizadas.

  1. Controlar el acceso a las herramientas DevOps.Dado que los atacantes solo necesitan explotar una vulnerabilidad para llevar a cabo su misión, es importante abordar los requisitos de seguridad y las vulnerabilidades potenciales de manera integral. Es decir, asegurar los secretos y las credenciales de las herramientas de administración de la nube y DevOps en un vault cifrado protegido con autenticación multifactor (MFA). Se debe proporcionar un acceso privilegiado a los usuarios (solo cuando sea necesario para realizar ciertas tareas), si bien hay que asegurarse de que este uso temporal esté controlado. Por último, hay que limitar el acceso a comandos de alto riesgo dentro de las herramientas DevOps.

Otras prácticas de higiene cibernética recomiendan configurar controles de acceso que segregan los flujos (pipelines) de DevOps para que los atacantes no puedan acceder a uno y, posteriormente, pasar a otro. Garantizar que las credenciales y los secretos no se compartan entre las cuentas de herramientas DevOps y las cuentas de administrador de sistemas de Windows y, finalmente, eliminar todas las cuentas innecesarias con acceso a las herramientas DevOps.

  1. Reducir la concentración de privilegios. ¿Cómo? Limitando el nivel de acceso de cada usuario a las herramientas DevOps al mínimo privilegio necesario para su función y configurar estas herramientas para que requieran autorización dual para ciertas funciones críticas. Además, se debe implementar la segregación de funciones  para herramientas de automatización como Jenkins que, a menudo, terminan teniendo  demasiados privilegios y son capaces de realizar todas las tareas sin restricciones.

  1. Asegurar que los repositorios de código no expongan secretos.Más allá de las credenciales, el código puede contener detalles sobre la red interna de la organización que podrían ser útiles para los atacantes. Por ese motivo, es recomendable utilizar un repositorio de código local en lugar de un repositorio de código en la nube, en caso de poder hacerlo sin afectar negativamente el flujo de trabajo. Si se utilizan repositorios en la nube, hay que asegurarse de que estén configurados como privados. Y, en cualquier caso, realizar escaneo de código para estar seguros de que no contiene secretos.

  1. Proteger y monitorizar la infraestructura.Los cibercriminales buscan el camino de menor resistencia (por ejemplo, un correo electrónico de phishing bien diseñado), así que asegúrese de que todos los puestos de trabajo y servidores se sometan regularmente a parcheado, escaneo de vulnerabilidades y monitorización de seguridad. Monitorice su infraestructura en la nube en busca de signos de utilización inusual de credenciales o cambios de configuración y asegúrese de que las imágenes de máquinas virtuales y contenedores provengan de una fuente autorizada y estén actualizadas.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

25 de mayo: segundo aniversario GDPR/RGDP
Actualidad
12 compartido1,647 visualizaciones
Actualidad
12 compartido1,647 visualizaciones

25 de mayo: segundo aniversario GDPR/RGDP

Alicia Burrueco - 25 mayo, 2020

Hoy se celebra el segundo aniversario de la GDPR Cada 25 de mayo, desde hace poquito (2018), se celebra la…

Descubren vulnerabilidades en el videojuego Fortnite que comprometen a sus usuarios
Security Breaches
10 compartido1,705 visualizaciones
Security Breaches
10 compartido1,705 visualizaciones

Descubren vulnerabilidades en el videojuego Fortnite que comprometen a sus usuarios

Vicente Ramírez - 21 enero, 2019

Los investigadores de Check Point encuentran vulnerabilidades que permiten a los hackers controlar las cuentas, acceder a los datos personales…

Ingecom cierra 2018 con 24,8 Millones de euros
Actualidad
15 compartido1,001 visualizaciones
Actualidad
15 compartido1,001 visualizaciones

Ingecom cierra 2018 con 24,8 Millones de euros

Vicente Ramírez - 11 enero, 2019

El mayorista salda este 2018 recién finalizado con un crecimiento cercano al 10% con respecto al año precedente. INGECOM, mayorista…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.