4 pasos imprescindibles para reforzar la seguridad de DevOps

Los consumidores y los trabajadores de oficina no son los únicos objetivos de los ciberdelincuentes. Los desarrolladores, que cuentan con importantes privilegios y acceso a amplias áreas tecnológicas, también son víctimas ideales.

Desde CyberArk advierten de que los ataques a la cadena de suministro de software están aumentando y que los desarrolladores deben proteger sus identidades. En concreto, recomiendan cuatro pasos para reforzar la seguridad de DevOps sin que esto afecte al trabajo de desarrollo.

Todo empieza por proteger las estaciones de trabajo y las herramientas que utilizan estos desarrolladores para escribir código. ¿Cómo? Aplicando el principio de privilegio mínimo.

“El objetivo es reducir o erradicar por completo la enorme cantidad de administradores locales y, al mismo tiempo, proporcionar el nivel correcto de elevación según la política de seguridad”, indica Brandon Traffanstedt, director sénior de tecnología global de CyberArk.

Además, hay que actuar contra el robo de credenciales en los navegadores, adoptando herramientas con controles proactivos y predictivos, ya que algunos ataques contra las credenciales se pueden ejecutar sin privilegios.

En segundo lugar, CyberArk apuesta por asegurar los marcos de automatización que se emplean en la configuración de la infraestructura como código. “Muchas de las herramientas y servicios que ofrecen los proveedores de la nube y las plataformas de contenedores tienen algunas capacidades de gestión de secretos integradas”, explican desde esta compañía.

“Sin embargo”, añaden, “hay quecada proveedor de herramientas adopta un enfoque diferente de la seguridad, tiene un nivel variable de madurez y experiencia, y utiliza diferentes interfaces, estableciendo su propia ‘isla de seguridad'”.

“El uso de estas capacidades de administración de secretos nativos es mejor que ninguna seguridad”, observa Traffanstedt.

Establecer quién necesita acceso a cada recurso es otro paso fundamental. Es decir, hay que concretar quién puede confirmar el código fuente y quién puede elevar los binarios como parte de un flujo de trabajo. Y es que no todos los miembros de un equipo necesitan contar con derechos administrativos completos.

Aquí entran en juego los controles de acceso privilegiado just-in-time, que aportan flexibilidad.

Por último y para evitar sustos, los desarrolladores tampoco deberían contar con acceso directo a máquinas virtuales en entornos de producción.  Si lo necesitan, deberán gestionarlo a través la administración de sesiones o una puerta de enlace de acceso web.

Así lo constata Cyberark, que afirma que “no se debe permitir que las excepciones a las políticas de seguridad se conviertan en permanentes. Debe haber un proceso estricto para aprobar la asignación y activación de políticas en todo el flujo de trabajo de DevOps”. El acceso seguro de nivel 0 a recursos y máquinas virtuales es un paso imprescindible.

Tampoco hay que olvidar las plataformas en la nube, en las que deben primar las mismas reglas de privilegio mínimo que en los entornos locales.

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

El Salvador pierde 65 millones de dólares con sus compras de Bitcoin

El Salvador está empleando sus cada vez más escasas reservas en dólares para recomprar deuda,…

6 horas ago

El 80 % de los ciudadanos ha interactuado con las Administraciones a través de Internet durante 2022

Hay un 6 % de ciudadanos que durante los últimos 12 meses no ha efectuado…

8 horas ago

Hisdesat controlará desde Madrid nuevos satélites puestos en órbita por SpaceX

Con el lanzamiento de los satélites SpainSat NG I y II mejorarán las comunicaciones seguras…

8 horas ago

La UE quiere impulsar la producción de chips hasta alcanzar el 20 % de la producción mundial

El objetivo de la Ley de Chips Europea es que la producción europea de chips…

8 horas ago

Objetivo Seresco: Duplicar su facturación en tres años

De los 33,6 millones de euros actuales, planea crecer hasta los 68,2 millones de euros…

10 horas ago

Siemens pone en marcha la Academia SiTecSkills

Esta iniciativa, abierta a socios externos, le permitirá ofrecer formación técnica a los trabajadores de…

10 horas ago