Introducción a DevSecOps

La era digital que estamos viviendo obliga a que las empresas estén en constante evolución en el uso de tecnologías de la información, para así poder ser más productivas e incrementar su competitividad en el mercado.

Nuevas filosofías a la hora de desarrollar proyectos como DevOps involucran a todos los componentes de la empresa en el desarrollo de software, fomentando la colaboración, comunicación e integración de los profesionales TI con el objetivo de aumentar el valor del servicio y ofrecer una entrega continua.  

Esta apuesta por la integración, comunicación y colaboración necesita una evolución de la seguridad durante todo el desarrollo de proyectos, y es ahí donde surge DevSecOps para conseguir una entrega de valor que incluya altos niveles de seguridad. 

En este artículo haremos una introducción a DevSecOps y veremos para qué sirve y cómo aumenta la seguridad en el desarrollo de proyectos DevOps. 

Qué es DeVSecOps 

DevSecOps es una filosofía por la cual se integra la seguridad en el desarrollo de proyectos DevOps. No se trata de un sistema para añadir medidas de protección y seguridad durante el desarrollo de un proyecto, sino integrar la seguridad en cada uno de los pasos y acciones que se realizan en el mismo.  

Las principales características de DevSecOps son: 

• Facilita a los desarrolladores a escribir códigos teniendo en cuenta la seguridad, lo que probablemente implique la necesidad de formación en seguridad por parte de los mismos (Seguridad como código). 
• Permite determinar los riesgos a los que se enfrenta el proyecto y tomar medidas preventivas y correctoras. 
• Automatiza tareas y comprobaciones de seguridad para realizarlas en mucho menor tiempo que por métodos manuales tradicionales, reduciendo, e incluso eliminando, posibles errores. 
• Incorpora una filosofía de seguridad desde el comienzo de las iniciativas DevOps y que involucra a todos los equipos que forman el proyecto. 
• Favorece la colaboración flexible entre los equipos de desarrollo, operaciones y seguridad. 

Para qué sirve DeVSecOps 

DevSecOps tiene como objetivo la integración de la seguridad en proyectos DevOps y se enfrenta a la difícil tarea de implementar pruebas y comprobaciones de seguridad dentro de un marco ágil donde impera la entrega rápida de software.

Por lo tanto, su meta es la de conseguir una entrega rápida y segura del código mientras se previenen y resuelven los problemas tradicionales entre el desarrollo y la seguridad (cuellos de botella, retrasos, comprobaciones manuales, entre otras). 

El método DevSecOps implica pensar en seguridad desde el principio del desarrollo de las aplicaciones (desde la etapa de planificación). DevSecOps se apoya en la automatización de algunos procesos de seguridad para evitar que se ralentice el flujo de trabajo y los procesos. 

Seguridad con DevSecOps 

La seguridad debe ser una prioridad “top” para los equipos de desarrollo DevOps y debe ser implementada desde el principio y durante todo el proceso de desarrollo. Si la seguridad sigue quedándose en la parte final del proceso de desarrollo se corre el riesgo de volver a ciclos largos de desarrollo. 

DevSecOps implica trabajar en la seguridad por diseño en lugar de optar por continuas revisiones de seguridad, por lo que la seguridad pasa a estar integrada en el desarrollo del proyecto en lugar de estar añadida posteriormente como una capa independiente.

Las políticas de seguridad son necesarias y tienen una función importante, pero DevSecOps hace mayor hincapié en la necesidad de disponer de equipos de desarrollo formados en seguridad. 

Una de las máximas de DevSecOps es descentralizar la seguridad, es decir, que no solo el equipo de seguridad sea el encargado de la misma, sino que se convierta en un requisito más del flujo de desarrollo y entrega para todos los equipos de trabajo. 

Automatización de los sistemas de seguridad 

Para poder lograr la integración de la seguridad dentro del desarrollo DevOps, sin que ralentice o retrase el flujo de trabajo y la entrega, es necesaria la automatización. DevOps automatiza una serie de procesos en busca de la agilidad y la eficiencia en el desarrollo, como: 

• Control de códigos fuente. 
• Registros de contenedores. 
• Canal de integración e implementación continuas (CI/CD). 
• Gestión de la interfaz de programación de aplicaciones (API). 
• Automatización de los lanzamientos. 
• Coordinación, gestión y supervisión operativas.  

Las nuevas tecnologías de automatización han permitido promover nuevas medidas de seguridad sin que estas afecten al desarrollo ágil de los proyectos. El uso de las nuevas tecnologías cloud hacen que DevSecOps las deba tener en cuenta a la hora de automatizar la seguridad. 

Las principales medidas de seguridad relacionadas con la automatización se centran en la seguridad del entorno y los datos, y la seguridad del proceso de integración y despliegue continuo. 

En cuanto a la seguridad del entorno y los datos: 

• Automatizar el entorno. El número de privilegios de cada servicio debe reducirse al mínimo para disminuir las conexiones y accesos no autorizados. 
• Centralizar el control de accesos. Un control de acceso centralizado y estricto es importante para proteger los microservicios. 
• Uso de cifrado de datos. Los datos que circulan entre las aplicaciones y los servicios deben utilizar un sistema de cifrado para reducir la posibilidad de accesos no autorizados. 
• Aislar los contenedores. Los contenedores que ejecutan microservicios deben aislarse unos de otros y de la red, puesto que son objetos de valor para los ataques externos. 
• Disminuir las API expuestas. Con el uso de puertas de enlace seguras se reduce la superficie de ataque. 

En cuanto a la integración y despliegue continuo: 

• Seguridad al agregar contenedores. Durante el proceso para agregar contenedores al registro hay que integrar escáneres de seguridad. 
• Automatizar los test de seguridad en la integración continua. Utilizar herramientas de seguridad en las compilaciones y escanear las imágenes de los contenedores en busca de vulnerabilidades (mientras se incorporan al proceso de compilación). 
• Automatizar las pruebas de validación, así como las funciones de verificación, autenticación y autorización. 
• Automatizar las actualizaciones de seguridad. Evita la intervención de los administradores para aplicar parches de seguridad que corrigen vulnerabilidades, favoreciendo la agilidad. 
• Automatizar configuraciones de sistemas y servicios. Evitando la intervención humana, se ganará tiempo y se eliminarán los posibles errores que produce el trabajo manual. 

La seguridad es uno de los asuntos más importantes que debe tener en cuenta una empresa a la hora de afrontar cualquier proyecto. La dependencia de los recursos y activos TI va en aumento y el desarrollo de software rápido, continuo y que aporte valor es necesario en el entorno actual. DevOps es una filosofía que viene a solucionar estos desafíos a las empresas de desarrollo de software, pero debe ir integrada con la seguridad como principio de desarrollo. 

DevSecOps integra la seguridad en todo el proceso de desarrollo de un proyecto y requiere la implicación de todos los miembros del mismo. La automatización de procesos y tareas en DevOps, además de ayudar a agilizar el flujo de trabajo y permitir que los desarrolladores se centren en tareas que aporten valor, permite que las pruebas y comprobaciones de seguridad no ralentice el proceso de desarrollo. 

AMBIT BST 

En AMBIT somos expertos desde hace más de 15 años en el desarrollo de estrategias y soluciones IT para tu compañía. Somos consultores e integradores en múltiples ámbitos, y si quieres conocer más de las soluciones que te podemos ofrecer, no dudes en ponerte en contacto con nosotros.