Mejores prácticas de seguridad de DevOps
- Gestión de apps
Las canalizaciones de CI/CD están en el centro de las operaciones diarias de muchas empresas en la actualidad. Estos procesos, cuando se configuran correctamente, ayudan a mantener el proceso de entrega consistente al automatizar muchas tareas manuales y proporcionar visibilidad sobre cómo se está trabajando el software.
DevOps también es el lugar en su pila de tecnología donde su infraestructura tiene acceso a muchos recursos diferentes, desde el entorno de desarrollo y producción hasta claves de análisis y credenciales de firma de código. Cuantos más recursos tengan acceso a sus canalizaciones (secretos seguros, código propietario, bases de datos, etc.), más importante será mantener seguro su sistema CI/CD.
Es posible utilizar la configuración de canalización de CI / CD para que sea menos probable que ocurran problemas de seguridad.
Primero, almacene de forma segura los secretos que utiliza en sus canalizaciones para conectarse a bases de datos y servicios de terceros. Dependiendo de la plataforma de CI que use, puede tener la opción de usar variables de entorno cifradas en reposo o usar la función de contextos. Los contextos se utilizan para proporcionar acceso a variables de entorno en todos los proyectos. Su uso también puede restringirse a miembros específicos del grupo de seguridad según lo definido por el administrador de la organización.
Otra opción es utilizar una solución de terceros para obtener dinámicamente secretos de su almacenamiento seguro para sus trabajos. Para asegurarse de que ninguna de sus credenciales se exponga a quienes no deberían verlas, nunca debe ingresarlas en su repositorio en texto plano, incluso si el repositorio es privado.
En segundo lugar, para archivos confidenciales como claves de firma de código, recomiendo agregar una capa adicional de aislamiento entre sus archivos cifrados y su repositorio para mayor seguridad. Manténgalos encriptados en su repositorio y almacene la clave de descifrado en las variables de entorno o contextos, solo descifrándolos dentro de sus trabajos de CI / CD cuando sean necesarios. Esto hace aún más difícil exponer o filtrar estos archivos altamente sensibles.
Tercero, nunca querrá dejar su entorno de CI / CD en ejecución sin monitorearlo. Por lo tanto, asegúrese de que los contenedores y las máquinas virtuales utilizados para sus tuberías se destruyan después de que los trabajos que requieren información confidencial terminen de ejecutarse.
Cuarto, preste especial atención a cómo su sistema CI / CD maneja las compilaciones para las solicitudes de extracción que provienen de los tenedores de su repositorio. Si sus etapas de construcción requieren secretos para funcionar, las solicitudes de extracción bifurcadas pueden obtener acceso a ellas a través de sus canalizaciones.
Al abordar estos cuatro aspectos, puede reducir significativamente el riesgo de incidentes de seguridad debido a la configuración de su canalización de CI / CD.
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.