DESARROLLADOR

Equipos de DevSecOps que protegen los activos basados ​​en la nube: por qué la colaboración es clave

0 0 4 minutos de lectura
Equipos de DevSecOps que protegen los activos basados ​​en la nube: por qué la colaboración es clave

DevSecOps requiere la colaboración entre los equipos de seguridad de la información, desarrollo de aplicaciones y operaciones de TI. Descubra cómo estos equipos de DevSecOps están superando los desafíos relacionados con la seguridad en la nube.

cloudsec

Los profesionales de la ciberseguridad están aprendiendo, a veces de la manera más difícil, Dev-Security-Ops (DevSecOps) la colaboración es fundamental para sus esfuerzos. Tener personas de todos los departamentos completamente involucradas en todos los aspectos de un proyecto puede mejorar la integración del control de seguridad, reducir los retrasos en la programación y evitar problemas cuando los procesos de seguridad se implementan después del hecho.

Mirar: DevOps: una guía más inteligente (República tecnológica)

Sin embargo, existen algunos problemas con la automatización del aprovisionamiento y la seguridad de los activos en la nube.en su trabajo de investigación Un enfoque DevSecOps para proteger su código y la nubeDave Shackleford, propietario y consultor principal vudú seguroasí como analistas, profesores senior y autores de cursos SIN«A pesar de los beneficios potenciales, comenzar con DevSecOps puede requerir un cambio cultural y mucha planificación… ya sea que el modelo sea software como servicio (SaaS), plataforma como servicio (PaaS) o infraestructura como servicio (IaaS). )», escribe la empresa.

Con respecto al comentario de Shackleford sobre la necesidad de una planificación adicional, se refería a la siguiente implementación:

  • modelado de amenazas: Los ejercicios de modelado de amenazas pueden ayudar a los equipos de seguridad a comprender mejor el tipo y la naturaleza de los activos que están protegiendo, cómo se administrarán/supervisarán esos activos en la nube y los posibles vectores de amenazas.
  • Evaluación de riesgos: Analizar el riesgo puede brindar a los equipos de seguridad una comprensión más profunda de qué controles existen y cuáles deben modificarse para operar con éxito en la nube.
LEER  Switchr: el cambio de tareas de Android es fácil

En cuanto a por qué es importante el modelado de amenazas y la evaluación de riesgos de los activos basados ​​en la nube, Shackleford escribe: «Es casi una garantía de que ciertos controles de seguridad no funcionarán como lo harían en las instalaciones, o no estarán disponibles en la nube, un servicio entorno del proveedor».

Mirar: Libro electrónico: una guía para líderes de TI para hacer que DevOps funcione (Estudios Técnicos Profesionales)

La cooperación es la clave

Shackleford cree que quienes administran equipos DevSecOps recién creados deben enfatizar la colaboración entre los miembros del equipo. En resumen, las personas responsables de la seguridad, el desarrollo y la garantía de calidad del proyecto deben fusionarse en un equipo unificado.

Con respecto a la seguridad, Shackleford dijo: «En su dominio, los equipos de seguridad deben determinar qué herramientas que tienen implementadas pueden integrarse en el entorno DevSecOps y determinar qué procedimientos o controles deben actualizarse o ajustarse antes de que puedan integrar y evolucionar continuamente el entorno».

Mirar: DevOps es una opción natural para la seguridad en la nube (ZDNet)

Cómo hacer que todo esto funcione

Una vez que el equipo DevSecOps esté completamente operativo, Shackleford recomienda que el equipo implemente lo siguiente (Figura A).

Figura A

devsecopssansdaveshackleford

La gestión del inventario: Desarrolle procesos de descubrimiento utilizando escáneres de redes y sistemas para incorporar documentos y activos de infraestructura en bases de datos de inventario. Para mantener la base de datos actualizada y segura, Shackleford también recomienda establecer un proceso para ubicar nuevos activos o cambios de activos.

Cumple con los estándares de la empresa y la industria: Para cumplir con una miríada de regulaciones y estándares, Shackleford cree que al usar tecnologías basadas en agentes y/o sin agentes, las organizaciones pueden aplicar estándares de configuración a los sistemas y luego evaluar nuevas configuraciones para detectar cambios o desviaciones de la política.

Controlar cuentas y permisos: El control de las cuentas y los permisos asignados a los recursos es fundamental. «Todos los usuarios, grupos, roles y permisos deben discutirse cuidadosamente y asignarse a los recursos según sea necesario», explica Shackleford. «La práctica de asignar patrones de acceso con privilegios mínimos también debe usarse siempre que sea posible».

Asegúrese de que los procesos tengan actualizaciones programadas de amenazas y vulnerabilidades: Shackleford argumenta que los escaneos internos de vulnerabilidades son una rutina en la mayoría de las organizaciones, pero es poco probable que sucedan en activos en la nube porque los proveedores de servicios en la nube a menudo no brindan las herramientas o el acceso que los clientes necesitan. Sin embargo, hay algunas opciones. «Algunos proveedores tradicionales de escaneo de vulnerabilidades han adaptado sus productos para trabajar en entornos de proveedores de la nube, a menudo confiando en las API para evitar solicitudes manuales para realizar escaneos más invasivos de forma programada o ad hoc», escribió Shackleford. agentes basados ​​en host que escanean sus respectivas máquinas virtuales de forma continua o bajo demanda».

Registro automático y recopilación de datos.: Los datos recopilados de los sistemas de monitoreo, los servicios, las aplicaciones y los sistemas operativos en las instancias de la nube deben recopilarse automáticamente y enviarse a una plataforma de recopilación central. «Todo el equipo de DevSecOps debe estar comprometido con una cultura de monitoreo continuo, ya sea en desarrollo dentro de la organización o en activos promovidos a la nube», enfatizó Shackleford. «Una vez que el monitoreo continuo de incidentes está realmente en su lugar, los incidentes pueden iniciarse». Activar la respuesta, que automáticamente hace retroceder el control a un buen estado conocido».

VER: El mercado de seguridad en la nube tendrá un valor de $ 12 mil millones para 2023, he aquí por qué (Tecnopedia)

Seguridad basada en la nube

La seguridad es un centro de costos y un desafío para las empresas que buscan controlar los costos operativos y de inversión. Seguridad como servicio (SECaaS) puede ser una forma para que las organizaciones hagan esto. «Muchos proveedores de SECaaS ofrecen opciones de servicios y proxy ligeros integrados, estrechamente integrados con las principales API de los proveedores de la nube, que pueden reducir los costos y la complejidad en múltiples áreas de control», escribió Shackleford. «Las opciones de SECaaS también son excelentes para la automatización y el desarrollo continuo y las estrategias de implementación, lo que las hace atractivas para los equipos de DevSecOps».

En pocas palabras, DevSecOps se trata de la colaboración continua entre los equipos de seguridad de la información, desarrollo de aplicaciones y operaciones de TI. Bien hecho, reducirá los costos de seguridad y la probabilidad de un incidente de ciberseguridad.

0 0 4 minutos de lectura

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba