Construyendo un proceso de retroalimentación de seguridad para DevOps
- Gestión de apps
La seguridad en la nube es un tema extremadamente complicado ya que las empresas construyen e implementan aplicaciones más rápido que nunca para mantenerse al día con los requisitos comerciales. La mayoría de los problemas de seguridad que se producen en la nube hoy en día se relacionan con cuentas comprometidas, robo de identidad, aplicaciones de malware y, por supuesto, violaciones de datos, que son críticas para la empresa y se muestran en todo momento, en muchos casos.
Dado el entorno dinámico de DevOps y la naturaleza de la nube, es un problema complejo de solucionar y solucionar. La forma más efectiva es integrar la seguridad, o lo que generalmente se habla de la izquierda de la seguridad, en el canal de TI. Si DevOps es la cultura de la colaboración para reducir el riesgo según el tamaño del cambio, DevSecOps es el control de seguridad automatizado incorporado en cada punto para crear una especie de mecanismo de autodefensa.
Uno de los procesos más importantes para incluir para tener éxito en DevOps es un circuito de retroalimentación que refuerza la colaboración constante, especialmente cuando se trata de información relacionada con la seguridad. En una organización DevOps en buen estado, los problemas de seguridad que se detectan en cualquier punto del proceso de entrega se comunican rápidamente a todas las partes interesadas, que pueden, a su vez, responder en consecuencia.
La automatización es el primer paso. Sin herramientas de seguridad automatizadas para el análisis de código, la administración de la configuración, el control de acceso, la administración de vulnerabilidades y la administración de secretos, es muy difícil escalar la seguridad en un entorno dinámico de DevOps.
La gestión de la identidad y el acceso se ha convertido en el eje de la seguridad de la nube. Dado que es muy fácil dar a las personas acceso incorrecto, es importante averiguar quién puede acceder a qué recursos. El acceso a la información y los recursos debe ser seguro, pero fácil de obtener.
Otro paso importante para construir un ciclo de comunicación efectivo es controlar el acceso a los secretos de nivel de aplicación. La seguridad se puede mejorar al restringir el flujo de información entre grupos relevantes, lo que se puede lograr mediante la creación y el control del acceso a los secretos utilizando los principios de privilegio mínimo. Las claves de acceso a esos secretos pueden guardarse en una herramienta de administración de secretos centralizada o en una herramienta de administración de claves. La rotación de estas teclas se puede automatizar tantas veces como sea necesario.
Aunque el personal de seguridad puede avergonzarse al mencionar la palabra "fallo", diseñar para fallar significa pensar en el futuro y tener un plan B. La nube es dinámica por diseño y las cosas suceden a un ritmo increíble, lo que a menudo genera problemas de elasticidad, configuración y poder de la nube.
El contexto se convierte en un parámetro importante para administrar vulnerabilidades porque existen múltiples vulnerabilidades en un momento dado. Las soluciones automatizadas de administración de vulnerabilidades y configuración están disponibles para eliminar la complejidad de la protección de los entornos de nube. Las capacidades de automatización y la supervisión continua proporcionan una visión profunda, recomendaciones inteligentes y una protección continua de la nube, lo que garantiza una gestión eficaz de la información en el ciclo de retroalimentación.
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.