4 pasos imprescindibles para reforzar la seguridad de DevOps

Los consumidores y los trabajadores de oficina no son los únicos objetivos de los ciberdelincuentes. Los desarrolladores, que cuentan con importantes privilegios y acceso a amplias áreas tecnológicas, también son víctimas ideales.

Desde CyberArk advierten de que los ataques a la cadena de suministro de software están aumentando y que los desarrolladores deben proteger sus identidades. En concreto, recomiendan cuatro pasos para reforzar la seguridad de DevOps sin que esto afecte al trabajo de desarrollo.

Todo empieza por proteger las estaciones de trabajo y las herramientas que utilizan estos desarrolladores para escribir código. ¿Cómo? Aplicando el principio de privilegio mínimo.

“El objetivo es reducir o erradicar por completo la enorme cantidad de administradores locales y, al mismo tiempo, proporcionar el nivel correcto de elevación según la política de seguridad”, indica Brandon Traffanstedt, director sénior de tecnología global de CyberArk.

Además, hay que actuar contra el robo de credenciales en los navegadores, adoptando herramientas con controles proactivos y predictivos, ya que algunos ataques contra las credenciales se pueden ejecutar sin privilegios.

En segundo lugar, CyberArk apuesta por asegurar los marcos de automatización que se emplean en la configuración de la infraestructura como código. “Muchas de las herramientas y servicios que ofrecen los proveedores de la nube y las plataformas de contenedores tienen algunas capacidades de gestión de secretos integradas”, explican desde esta compañía.

“Sin embargo”, añaden, “hay quecada proveedor de herramientas adopta un enfoque diferente de la seguridad, tiene un nivel variable de madurez y experiencia, y utiliza diferentes interfaces, estableciendo su propia ‘isla de seguridad'”.

“El uso de estas capacidades de administración de secretos nativos es mejor que ninguna seguridad”, observa Traffanstedt.

Establecer quién necesita acceso a cada recurso es otro paso fundamental. Es decir, hay que concretar quién puede confirmar el código fuente y quién puede elevar los binarios como parte de un flujo de trabajo. Y es que no todos los miembros de un equipo necesitan contar con derechos administrativos completos.

Aquí entran en juego los controles de acceso privilegiado just-in-time, que aportan flexibilidad.

Por último y para evitar sustos, los desarrolladores tampoco deberían contar con acceso directo a máquinas virtuales en entornos de producción.  Si lo necesitan, deberán gestionarlo a través la administración de sesiones o una puerta de enlace de acceso web.

Así lo constata Cyberark, que afirma que “no se debe permitir que las excepciones a las políticas de seguridad se conviertan en permanentes. Debe haber un proceso estricto para aprobar la asignación y activación de políticas en todo el flujo de trabajo de DevOps”. El acceso seguro de nivel 0 a recursos y máquinas virtuales es un paso imprescindible.

Tampoco hay que olvidar las plataformas en la nube, en las que deben primar las mismas reglas de privilegio mínimo que en los entornos locales.