4 pasos imprescindibles para reforzar la seguridad de DevOps

Los consumidores y los trabajadores de oficina no son los únicos objetivos de los ciberdelincuentes. Los desarrolladores, que cuentan con importantes privilegios y acceso a amplias áreas tecnológicas, también son víctimas ideales.

Desde CyberArk advierten de que los ataques a la cadena de suministro de software están aumentando y que los desarrolladores deben proteger sus identidades. En concreto, recomiendan cuatro pasos para reforzar la seguridad de DevOps sin que esto afecte al trabajo de desarrollo.

Todo empieza por proteger las estaciones de trabajo y las herramientas que utilizan estos desarrolladores para escribir código. ¿Cómo? Aplicando el principio de privilegio mínimo.

“El objetivo es reducir o erradicar por completo la enorme cantidad de administradores locales y, al mismo tiempo, proporcionar el nivel correcto de elevación según la política de seguridad”, indica Brandon Traffanstedt, director sénior de tecnología global de CyberArk.

Además, hay que actuar contra el robo de credenciales en los navegadores, adoptando herramientas con controles proactivos y predictivos, ya que algunos ataques contra las credenciales se pueden ejecutar sin privilegios.

En segundo lugar, CyberArk apuesta por asegurar los marcos de automatización que se emplean en la configuración de la infraestructura como código. “Muchas de las herramientas y servicios que ofrecen los proveedores de la nube y las plataformas de contenedores tienen algunas capacidades de gestión de secretos integradas”, explican desde esta compañía.

“Sin embargo”, añaden, “hay quecada proveedor de herramientas adopta un enfoque diferente de la seguridad, tiene un nivel variable de madurez y experiencia, y utiliza diferentes interfaces, estableciendo su propia ‘isla de seguridad'”.

“El uso de estas capacidades de administración de secretos nativos es mejor que ninguna seguridad”, observa Traffanstedt.

Establecer quién necesita acceso a cada recurso es otro paso fundamental. Es decir, hay que concretar quién puede confirmar el código fuente y quién puede elevar los binarios como parte de un flujo de trabajo. Y es que no todos los miembros de un equipo necesitan contar con derechos administrativos completos.

Aquí entran en juego los controles de acceso privilegiado just-in-time, que aportan flexibilidad.

Por último y para evitar sustos, los desarrolladores tampoco deberían contar con acceso directo a máquinas virtuales en entornos de producción.  Si lo necesitan, deberán gestionarlo a través la administración de sesiones o una puerta de enlace de acceso web.

Así lo constata Cyberark, que afirma que “no se debe permitir que las excepciones a las políticas de seguridad se conviertan en permanentes. Debe haber un proceso estricto para aprobar la asignación y activación de políticas en todo el flujo de trabajo de DevOps”. El acceso seguro de nivel 0 a recursos y máquinas virtuales es un paso imprescindible.

Tampoco hay que olvidar las plataformas en la nube, en las que deben primar las mismas reglas de privilegio mínimo que en los entornos locales.

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

Los mensajes RCS, otra vía de acceso para ciberataques

Los mensajes RCS ofrecen muchas más posibilidades que los SMS, pero también abren la puerta…

1 día ago

Telefónica Empresas ayudará a Microsoft a expandir los Copilot+ PC por España

Acompañará a las empresas en sus procesos de equipamiento, desde la elección del hardware hasta…

2 días ago

IBM y Esade promueven el uso de la IA en los Consejos de Administración

Juntos, trabajarán en la formación y la actualización de habilidades para que los consejeros impulsen…

2 días ago

ASUS lanza un Mini PC con inteligencia artificial

Este dispositivo incluye entre sus especificaciones procesador Intel Core Ultra (Serie 2) y botón Copilot.

2 días ago

EasyVisa adquiere una participación mayoritaria en OTRS Group

Ya cuenta en su poder con más del 90 % de las acciones del proveedor…

2 días ago

SoftwareOne y Crayon acuerdan fusionarse

Los actuales consejeros delegados, Raphael Erb y Melissa Mulholland, se convertirán en co-CEOs de la…

2 días ago