DevOps: hacer que el ciclo de desarrollo sea más seguro

  • Gestión de apps

Fundamentalmente, DevOps tiene que ver con la velocidad y la agilidad. Los clientes esperan que las empresas entreguen y actualicen aplicaciones a un ritmo acelerado y las empresas deben adoptar tecnologías modernas para satisfacer las expectativas de los clientes. Con DevOps, las organizaciones pueden implementar un ciclo continuo de desarrollo e implementación para obtener una multitud de beneficios.

Las organizaciones no solo pueden operar y evolucionar aplicaciones a gran velocidad con DevOps, sino que también pueden hacerlo de forma más rentable al automatizar todos los pasos relacionados con la construcción del software para evitar la implementación manual de cambios de código o configuración para cada aplicación.

Si bien la velocidad y la seguridad no son necesariamente enemigos, si las tecnologías de seguridad o control de acceso implementadas no están en sintonía con un flujo de implementación continuo, la promesa completa de DevOps no se realizará. Esperar hasta el final de un ciclo de desarrollo para revisar la seguridad abre las organizaciones a los problemas de seguridad que podrían haberse resuelto más fácilmente si se hubieran implementado los controles de seguridad en primer lugar. El descubrimiento tardío de problemas de seguridad también ralentiza el proceso, lo cual es, por supuesto, contrario a algunos de los objetivos principales de DevOps. Para obtener todo el potencial de DevOps, las organizaciones deben asegurarse de que los controles de seguridad, como la autorización externalizada, sean una parte integral del proceso de seguridad desde el principio.

La importancia de los controles de seguridad

Los controles de seguridad pueden abordar de manera proactiva y consistente diferentes aspectos de seguridad en toda la empresa. Un ciclo de integración continua / implementación continua (CI / CD) es una pieza fundamental del proceso DevOps; implica que el entorno de la aplicación cambia potencialmente en cualquier momento y posiblemente con frecuencia. Con cambios constantes en el entorno de producción, es fundamental garantizar que los controles de seguridad sean parte de este proceso; de ahí el término "DevSecOps".

Si los procesos de seguridad no son parte del proceso general, se arriesga a que los controles de seguridad no se vean correctamente o se apliquen sistemáticamente con cada nueva versión o nueva aplicación / API / microservicios. Sin embargo, los controles de seguridad también deben ajustarse a un enfoque DevOps, lo que significa que deben ajustarse a un modelo simplificado a través de la automatización para ser implementado y administrado de manera muy similar a las aplicaciones de hoy en día.

Ajustarse a un enfoque DevOps puede tener diferentes perspectivas. Lo que nos estamos enfocando aquí es sugerir que los servicios de seguridad e identidad se deben implementar y administrar de la misma manera que el código de su aplicación. Las capacidades propias de la nube, las interfaces claramente definidas, las interfaces habilitadas para REST y JSON y la contenedorización son algunas de las características que hacen que los servicios de seguridad e identidad se vean y se sientan como las aplicaciones y servicios empresariales.

Integrando los Controles de Seguridad Correctos

Para obtener todos los beneficios de DevOps, las organizaciones deben implementar tecnologías de administración de seguridad o identidad que estén sincronizadas con un ciclo continuo de implementación / integración. Si los sistemas de gestión de identidad y acceso (IAM) no se pueden implementar y administrar de la misma manera que sus API y microservicios, entonces hace que el proceso de DevOps sea más engorroso y menos aerodinámico.

Una de las tecnologías a considerar es la autorización dinámica externalizada entregada con control de acceso basado en atributos (ABAC). Con la autorización dinámica, los usuarios tienen acceso autorizado a recursos basados ​​en atributos. La autorización se determina dinámicamente en el tiempo de ejecución mediante la evaluación de reglas y políticas administradas centralmente.

Con la autorización dinámica, puede automatizar los cambios de política de la misma manera que puede automatizar los cambios de código. Además, el servicio ABAC mismo se puede administrar como un microservicio, dándole la misma flexibilidad, despliegue y características de automatización que los microservicios de su aplicación. En última instancia, el ciclo de vida de la redistribución de los componentes de aplicación y seguridad puede automatizarse por completo. Del mismo modo, cualquier cambio en las políticas también puede ser parte del proceso de automatización. Además, puede automatizar la activación de servidores de autorización adicionales para condiciones de carga máxima y eliminarlos cuando se requiere menos capacidad.

Con un enfoque automatizado, puede aliviar la presión sobre los desarrolladores, porque ya no tendrán que escribir reglas de seguridad en su código. Además, las reglas de acceso se aplican de forma coherente en todas las aplicaciones, API, microservicios y recursos de datos, lo que reduce el riesgo de sobreexposición a infracciones de información y seguridad. Esto también significa que sus desarrolladores pueden dedicar su tiempo a la funcionalidad comercial, sin preocuparse por la seguridad del acceso.

Las tecnologías de seguridad, como la autorización dinámica, son una parte fundamental del proceso de DevOps. Con la autorización dinámica integrada directamente en el ciclo de desarrollo, las organizaciones pueden abordar automáticamente una amplia variedad de aspectos de seguridad en toda la empresa y garantizar un ciclo de desarrollo continuo y seguro.

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.