4 pasos imprescindibles para reforzar la seguridad de DevOps

Los consumidores y los trabajadores de oficina no son los únicos objetivos de los ciberdelincuentes. Los desarrolladores, que cuentan con importantes privilegios y acceso a amplias áreas tecnológicas, también son víctimas ideales.

Desde CyberArk advierten de que los ataques a la cadena de suministro de software están aumentando y que los desarrolladores deben proteger sus identidades. En concreto, recomiendan cuatro pasos para reforzar la seguridad de DevOps sin que esto afecte al trabajo de desarrollo.

Todo empieza por proteger las estaciones de trabajo y las herramientas que utilizan estos desarrolladores para escribir código. ¿Cómo? Aplicando el principio de privilegio mínimo.

“El objetivo es reducir o erradicar por completo la enorme cantidad de administradores locales y, al mismo tiempo, proporcionar el nivel correcto de elevación según la política de seguridad”, indica Brandon Traffanstedt, director sénior de tecnología global de CyberArk.

Además, hay que actuar contra el robo de credenciales en los navegadores, adoptando herramientas con controles proactivos y predictivos, ya que algunos ataques contra las credenciales se pueden ejecutar sin privilegios.

En segundo lugar, CyberArk apuesta por asegurar los marcos de automatización que se emplean en la configuración de la infraestructura como código. “Muchas de las herramientas y servicios que ofrecen los proveedores de la nube y las plataformas de contenedores tienen algunas capacidades de gestión de secretos integradas”, explican desde esta compañía.

“Sin embargo”, añaden, “hay quecada proveedor de herramientas adopta un enfoque diferente de la seguridad, tiene un nivel variable de madurez y experiencia, y utiliza diferentes interfaces, estableciendo su propia ‘isla de seguridad'”.

“El uso de estas capacidades de administración de secretos nativos es mejor que ninguna seguridad”, observa Traffanstedt.

Establecer quién necesita acceso a cada recurso es otro paso fundamental. Es decir, hay que concretar quién puede confirmar el código fuente y quién puede elevar los binarios como parte de un flujo de trabajo. Y es que no todos los miembros de un equipo necesitan contar con derechos administrativos completos.

Aquí entran en juego los controles de acceso privilegiado just-in-time, que aportan flexibilidad.

Por último y para evitar sustos, los desarrolladores tampoco deberían contar con acceso directo a máquinas virtuales en entornos de producción.  Si lo necesitan, deberán gestionarlo a través la administración de sesiones o una puerta de enlace de acceso web.

Así lo constata Cyberark, que afirma que “no se debe permitir que las excepciones a las políticas de seguridad se conviertan en permanentes. Debe haber un proceso estricto para aprobar la asignación y activación de políticas en todo el flujo de trabajo de DevOps”. El acceso seguro de nivel 0 a recursos y máquinas virtuales es un paso imprescindible.

Tampoco hay que olvidar las plataformas en la nube, en las que deben primar las mismas reglas de privilegio mínimo que en los entornos locales.

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

Sólo 1 de cada 5 mujeres del sector tecnológico trabaja en IA

Apenas el 22% de las mujeres del sector tecnológico participan en el desarrollo y adopción…

10 horas ago

1 de cada 15 intentos de fraude es un ‘deepfake’

Esta amenaza se ha incrementado un 2.137 % en los últimos tres años, pasando de…

1 día ago

Conectividad avanzada y tecnologías móviles contribuirán con 11 billones de dólares al PIB mundial en 2030

Entre los sectores de fabricación, servicios financieros, automoción y aviación aportarán un tercio de esa…

1 día ago

AVM se llevará nuevos routers y repetidores al MWC 2025

Entre estos dispositivos se encuentra el FRITZ!Box 5690 XGS para conectividad directa a fibra óptica…

1 día ago

Silicon Pulse: Titulares de la semana T3E6

Bienvenido a un nuevo episodio del podcast semanal Silicon Pulse, un espacio en el que…

2 días ago

Los servicios de IA conversacional generarán este año ingresos por valor de 14.600 millones de dólares

Para 2027, Juniper Research calcula que esta cifra ascenderá por encima de los 23.000 millones.

2 días ago