Sopesando el coste en seguridad de DevOps
- Gestión de apps
Las violaciones de datos son una noticia terrible para las empresas. Y los costes asociados con tales ataques continúan aumentando. Un informe reciente asegura que tiene un coste medio de 3,92 millones de dólares por incumplimiento.
No adaptar la automatización de la seguridad y el escaneo de vulnerabilidades a los canales de desarrollo podría tener un efecto drástico no solo en el coste sino también en la eficiencia de la carga de trabajo y la moral del equipo. Con este tipo de dolores de cabeza, es vital considerar las repercusiones por no adoptar armamentos seguros (y ajustados) y procedimientos de auditoría.
¿Pueden las organizaciones adoptar DevSecOps más allá de la palabra de moda que se ha convertido? Las estrategias DevOps dejan secretos a la vista sin saberlo debido a un error humano. Estas son las puertas de entrada más comunes para los atacantes. Tapar estas brechas es el primer paso, aunque obvio.
Un estudio reciente realizó un análisis de producción en vivo de más de 500 entornos nativos de la nube en todo el mundo. Según sus hallazgos, "el 89% de los escaneos de despliegue muestran que las empresas no están utilizando los recursos secretos de Kubernetes". Esto significa que la mayoría de los entornos de Kubernetes comparten alguna forma de violaciones de datos susceptibles. Entre las 5.000 exploraciones realizadas, el informe encontró que los secretos suelen dejarse abiertos en algunas áreas, que incluyen:
- Cargas de trabajo que tuvieron que conectarse a recursos en la nube que existen fuera del clúster
- Claves de acceso para conectarse a esos recursos
- Tokens para cargas de trabajo que requieren acceso API a bases de datos externas
- Credenciales para cubos S3
- Brechas en las mejores prácticas para Kubernetes e Istio
Kubernetes es un sistema sofisticado, con una amplia gama de casos de uso y experiencias nativas de la nube. Estos requieren auditorías extensas y verificaciones de cumplimiento para salvaguardar la implementación.
En la creación de políticas de red, “el 75% de las implementaciones escaneadas usan cargas de trabajo, que montan sistemas de archivos host de alta vulnerabilidad; mientras que ninguno de los entornos encuestados muestra una implementación de segmentación utilizando las políticas de red de Kubernetes ", afirmó el estudio.
Estas son plataformas atractivas, pero las mejores prácticas deben cumplir con el creciente número de posibles vectores de ataque.
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.