Algunas organizaciones se están volviendo vulnerables cuando adoptan un enfoque de infraestructura como código. Aquí se explica cómo evitar configuraciones erróneas y plantillas inseguras.
A medida que las organizaciones adoptan la computación en nube, el ritmo de adopción de la infraestructura como código (IcC) sigue aumentando. Al igual que ocurre con muchas nuevas tecnologías, la seguridad a menudo se incorpora a la IcC o se olvida por completo. Asegurar la IcC es importante. A continuación, se explica la mejor manera de hacerlo y los riesgos de descuidar esta actividad de seguridad crítica.
¿Qué es la infraestructura como código?
Conocida también como infraestructura programada. Las formas tradicionales de desplegar la infraestructura implicaban procesos de adquisición, infraestructura física, largos tiempos de espera y racks de servidores. Incluso con la llegada de la computación en nube, los métodos iniciales de gestión de la infraestructura implicaban "clics", como se denomina, o entrar manualmente en la consola del proveedor de servicios en nube (CSP) e instanciar la infraestructura directamente. Este enfoque es ineficaz, propenso a errores y no es escalable cuando se trata de entornos de nube empresariales.
IcC cambia este paradigma al permitir la codificación y la gestión programática de la infraestructura, al igual que se haría con el código de las aplicaciones tradicionales. Esto significa que se pueden utilizar prácticas como el control de fuentes, el versionado, la reutilización, la portabilidad, la detección de desviaciones y la automatización.
Con la facilidad y la velocidad viene el riesgo
A pesar de todas las ventajas de IcC, hay peligros que debe conocer para evitar introducir riesgos innecesarios en sus entornos de nube. El aprovisionamiento rápido de plantillas de IcC implica la posibilidad de introducir rápidamente configuraciones inseguras y riesgos en las empresas. Lo mismo puede decirse de aprovechar las plantillas de IcC disponibles públicamente. Estas plantillas pueden y suelen contener desviaciones de las mejores prácticas de seguridad o configuraciones inseguras.
Aunque las organizaciones están maximizando su uso de IcC, a menudo lo hacen sin examinar las plantillas para detectar errores de configuración y vulnerabilidades de seguridad. Esto incluye tanto las plantillas de IcC desarrolladas internamente como las tomadas de repositorios públicos. Tenga cuidado cuando utilice plantillas de IcC existentes, ya sean de repositorios públicos o internos, y examínelas para detectar errores de configuración y vulnerabilidades.
Dado que la mayoría de las violaciones de datos en la nube son el resultado de una mala configuración por parte del cliente, ¿no deberíamos inyectar más rigor de seguridad en el rápido y dinámico aprovisionamiento de IcC que tiene el potencial de replicar las malas configuraciones a escala?
Mejores prácticas de seguridad para la infraestructura como código
Dado que la IcC utiliza de la misma manera que otros mecanismos de código, se puede integrar en estructuras y flujos de trabajo similares. Esto significa que puede almacenarse en repositorios de gestión de código fuente (SCM), integrarse en conductos de integración continua/despliegue continuo (CI/CD) y analizarse en tiempo de ejecución.
Hay muchas herramientas de escaneo de IcC para explorar. Estas escanean plantillas de infraestructura en la nube con respecto a miles de políticas alineadas con una miríada de marcos de cumplimiento para detectar tanto las violaciones de cumplimiento como las configuraciones inseguras que introducen vulnerabilidades.
Esto incluye el escaneo de estas plantillas cuando se crean por primera vez y se almacenan en los repositorios SCM, lo que garantiza que las vulnerabilidades o las desviaciones de cumplimiento se pongan en conocimiento de los autores de IcC rápidamente para su corrección.
Las plantillas de IcC también se pueden escanear como parte de los conductos de CI/CD con varias puertas de control para garantizar que no se promuevan a entornos de tiempo de ejecución e introduzcan riesgos no deseados en el entorno de la nube de una organización. Esto ayuda a validar que cualquier infraestructura que se aprovisione en el entorno no introduzca vulnerabilidades. También ayuda a garantizar que todo lo que se aprovisiona se alinea con los marcos de cumplimiento aplicables de la organización y del sector.
Por último, es necesario implementar la gestión continua de la postura de la nube (CSPM) para garantizar que las plantillas de IcC previamente "conocidas como buenas" que se permitieron aprovisionar y ejecutar no se han desviado y que no se han introducido manualmente cambios inseguros o que no cumplen con las normas. Aquí es donde debe asegurarse de que está escaneando continuamente sus entornos de ejecución para supervisar este tipo de escenarios y riesgos. Cuando se detectan desviaciones e infracciones, se puede trabajar para implementar la remediación como código para restaurar su entorno a un estado previamente revisado y autorizado.
Primeros pasos para la gobernanza de la IcC
Las organizaciones pueden comenzar el camino de la implementación de la gobernanza de IcC determinando elementos como qué formas de IcC se están utilizando en su entorno, por quién, dónde y cómo se están creando, almacenando y ejecutando estas plantillas. A continuación, los equipos de seguridad pueden empezar a introducir algo de rigor utilizando herramientas como las mencionadas anteriormente para empezar a integrarse en los flujos de trabajo existentes, descubriendo vulnerabilidades y desviaciones de cumplimiento, y proporcionando información rápida para las correcciones a los autores de IcC.
Como ocurre con todo en el ámbito de la seguridad, es importante integrarse con los flujos de trabajo y métodos existentes para evitar convertirse en un cuello de botella. Hay que introducir una fricción "saludable" en los flujos de trabajo de los desarrolladores para garantizar que la productividad no se vea afectada innecesariamente por las vulnerabilidades y que se aborden las preocupaciones de cumplimiento, al tiempo que se permite a los equipos operar a una velocidad relevante para las partes interesadas y los clientes.
A medida que las organizaciones adoptan cada vez más la computación en la nube, cambian a enfoques DevOps/DevSecOps y buscan aumentar la velocidad y las capacidades dinámicas, la adopción de IcC seguirá aumentando. Si la seguridad aprovecha las prácticas y herramientas comentadas, puede ayudar a facilitar esta adopción de forma segura, al tiempo que garantiza que su organización no introduce rápidamente riesgos injustificados e incluso la explotación de los entornos de la nube.
Fuente:CSO
Comments