DevSecOps

DevSecOps significa desarrollo, seguridad y operaciones. Es un enfoque de cultura, automatización y diseño de plataforma que integra la seguridad como una responsabilidad compartida a lo largo de todo el ciclo de vida de TI.

Seguridad de la información

La seguridad se refiere a todas las herramientas y técnicas necesarias para diseñar y construir software que resista ataques y para detectar y responder a defectos (o intrusiones reales) lo más rápido posible.

Históricamente, la seguridad de las aplicaciones se ha abordado después de que se completa el desarrollo y por un equipo de personas separado, separado tanto del equipo de desarrollo como del equipo de operaciones. Este enfoque aislado ralentizó el proceso de desarrollo y el tiempo de reacción.

Además, las propias herramientas de seguridad históricamente se han aislado en silos. Cada prueba de seguridad de la aplicación analizó solo esa aplicación y, a menudo, solo el código fuente de esa aplicación. Esto hizo que fuera difícil para cualquier persona tener una visión de toda la organización de los problemas de seguridad o comprender cualquiera de los riesgos del software en el contexto del entorno de producción.

Al hacer que la seguridad de las aplicaciones sea parte de un proceso DevSecOps unificado, desde el diseño inicial hasta la implementación final, las organizaciones pueden alinear los tres componentes más importantes de la creación y entrega de software.

DevOps vs. DevSecOps

DevOps no se trata solo de equipos de desarrollo y operaciones. Si desea aprovechar al máximo la agilidad y la capacidad de respuesta de un enfoque DevOps, la seguridad de TI también debe desempeñar un papel integrado en el ciclo de vida completo de sus aplicaciones.

¿Por qué? En el pasado, el rol de seguridad estaba aislado a un equipo específico en la etapa final de desarrollo. Eso no era tan problemático cuando los ciclos de desarrollo duraban meses o incluso años, pero esos días terminaron. DevOps efectivo garantiza ciclos de desarrollo rápidos y frecuentes (a veces semanas o días), pero las prácticas de seguridad obsoletas pueden deshacer incluso las iniciativas de DevOps más eficientes.

Ahora, en el marco colaborativo de DevOps, la seguridad es una responsabilidad compartida integrada de principio a fin. Es una mentalidad tan importante que llevó a algunos a acuñar el término “DevSecOps” para enfatizar la necesidad de construir una base de seguridad en las iniciativas de DevOps.

DevSecOps significa pensar en la seguridad de las aplicaciones y la infraestructura desde el principio. También significa automatizar algunas puertas de seguridad para evitar que el flujo de trabajo de DevOps se ralentice. Seleccionar las herramientas adecuadas para integrar continuamente la seguridad, como acordar un entorno de desarrollo integrado (IDE) con características de seguridad, puede ayudar a cumplir estos objetivos. Sin embargo, la seguridad efectiva de DevOps requiere más que nuevas herramientas: se basa en los cambios culturales de DevOps para integrar el trabajo de los equipos de seguridad más temprano que tarde.

Beneficios

Los dos beneficios principales de DevSecOps son la velocidad y la seguridad. Los equipos de desarrollo entregan un código mejor y más seguro más rápido y, por lo tanto, más barato.

“El propósito y la intención de DevSecOps es basarse en la mentalidad de que todos son responsables de la seguridad con el objetivo de distribuir de manera segura las decisiones de seguridad a gran velocidad y escala a aquellos que tienen el nivel más alto de contexto sin sacrificar la seguridad requerida”, describe Shannon Lietz. , coautor del “Manifiesto DevSecOps”.

Entrega de software rápida y rentable

Cuando el software se desarrolla en un entorno que no es DevSecOps, los problemas de seguridad pueden provocar enormes retrasos de tiempo. Arreglar el código y los problemas de seguridad puede llevar mucho tiempo y ser costoso. La entrega rápida y segura de DevSecOps ahorra tiempo y reduce los costos al minimizar la necesidad de repetir un proceso para abordar los problemas de seguridad después del hecho.

Esto se vuelve más eficiente y rentable ya que la seguridad integrada elimina las revisiones duplicadas y las reconstrucciones innecesarias, lo que da como resultado un código más seguro.

Seguridad mejorada y proactiva

DevSecOps introduce procesos de ciberseguridad desde el comienzo del ciclo de desarrollo. A lo largo del ciclo de desarrollo, el código se revisa, audita, escanea y prueba para detectar problemas de seguridad. Estos problemas se abordan tan pronto como se identifican. Los problemas de seguridad se solucionan antes de que se introduzcan dependencias adicionales. Los problemas de seguridad se vuelven menos costosos de solucionar cuando la tecnología de protección se identifica e implementa al principio del ciclo.

Además, una mejor colaboración entre los equipos de desarrollo, seguridad y operaciones mejora la respuesta de una organización a las incidencias y problemas cuando ocurren. Las prácticas de DevSecOps reducen el tiempo para parchear las vulnerabilidades y liberan a los equipos de seguridad para que se concentren en trabajos de mayor valor. Estas prácticas también aseguran y simplifican el cumplimiento, lo que evita que los proyectos de desarrollo de aplicaciones tengan que actualizarse por motivos de seguridad.

Parches acelerados de vulnerabilidades de seguridad

Un beneficio clave de DevSecOps es la rapidez con la que administra las vulnerabilidades de seguridad recién identificadas. A medida que DevSecOps integra el análisis de vulnerabilidades y la aplicación de parches en el ciclo de lanzamiento, la capacidad de identificar y aplicar parches a las vulnerabilidades y exposiciones comunes (CVE) disminuye. Esto limita la ventana que tiene un actor de amenazas para aprovechar las vulnerabilidades en los sistemas de producción de cara al público.

Automatización compatible con el desarrollo moderno

Las pruebas de seguridad cibernética se pueden integrar en un conjunto de pruebas automatizado para equipos de operaciones si una organización utiliza una canalización de integración continua/entrega continua para enviar su software.

La automatización de los controles de seguridad depende en gran medida del proyecto y de los objetivos de la organización. Las pruebas automatizadas pueden garantizar que las dependencias de software incorporadas estén en los niveles de parche apropiados y confirmar que el software pasa las pruebas de unidad de seguridad. Además, puede probar y proteger el código con análisis estático y dinámico antes de que la actualización final pase a producción.

Un proceso repetible y adaptativo

A medida que maduran las organizaciones, maduran sus posturas de seguridad. DevSecOps se presta a procesos repetibles y adaptables. Esto garantiza que la seguridad se aplique de forma coherente en todo el entorno, ya que el entorno cambia y se adapta a los nuevos requisitos. Una implementación madura de DevSecOps tendrá una sólida automatización, administración de configuración, orquestación, contenedores, infraestructura inmutable e incluso entornos informáticos sin servidor.

Mejores prácticas

DevSecOps debe ser la incorporación natural de los controles de seguridad en sus procesos de desarrollo, entrega y operativos.

Desplazar a la izquierda

‘Shift left’ es un mantra de DevSecOps: alienta a los ingenieros de software a mover la seguridad de la derecha (final) a la izquierda (comienzo) del proceso DevOps (entrega). En un entorno DevSecOps, la seguridad es una parte integral del proceso de desarrollo desde el principio. Una organización que utiliza DevSecOps trae a sus arquitectos e ingenieros de ciberseguridad como parte del equipo de desarrollo. Su trabajo es garantizar que todos los componentes y todos los elementos de configuración de la pila estén parcheados, configurados de forma segura y documentados.

El desplazamiento a la izquierda permite que el equipo de DevSecOps identifique los riesgos y exposiciones de seguridad de manera temprana y garantiza que estas amenazas de seguridad se aborden de inmediato. El equipo de desarrollo no solo está pensando en construir el producto de manera eficiente, sino que también está implementando la seguridad a medida que lo construye.

Educación en seguridad

La seguridad es una combinación de ingeniería y cumplimiento. Las organizaciones deben formar una alianza entre los ingenieros de desarrollo, los equipos de operaciones y los equipos de cumplimiento para garantizar que todos en la organización comprendan la postura de seguridad de la empresa y sigan los mismos estándares.

Todos los involucrados en el proceso de entrega deben estar familiarizados con los principios básicos de seguridad de aplicaciones, los 10 principales del Proyecto de seguridad de aplicaciones web abiertas (OWASP), las pruebas de seguridad de aplicaciones y otras prácticas de ingeniería de seguridad. Los desarrolladores deben comprender los modelos de subprocesos, las verificaciones de cumplimiento y tener un conocimiento práctico de cómo medir los riesgos, la exposición e implementar controles de seguridad.

Cultura: comunicación, personas, procesos y tecnología

Un buen liderazgo fomenta una buena cultura que promueve el cambio dentro de la organización. Es importante y esencial en DevSecOps comunicar las responsabilidades de seguridad de los procesos y propiedad del producto. Solo entonces los desarrolladores e ingenieros pueden convertirse en propietarios de procesos y asumir la responsabilidad de su trabajo.

Los equipos de operaciones de DevSecOps deben crear un sistema que funcione para ellos, utilizando las tecnologías y los protocolos que se adapten a su equipo y al proyecto actual. Al permitir que el equipo cree el entorno de flujo de trabajo que se ajuste a sus necesidades, se convierten en partes interesadas comprometidas con el resultado del proyecto.

Trazabilidad, auditabilidad y visibilidad

La implementación de la trazabilidad, la auditabilidad y la visibilidad en un proceso de DevSecOps conduce a una visión más profunda y a un entorno más seguro:

  • La trazabilidad le permite realizar un seguimiento de los elementos de configuración a lo largo del ciclo de desarrollo hasta donde se implementan los requisitos en el código. Esto puede jugar un papel crucial en el marco de control de su organización, ya que ayuda a lograr el cumplimiento, reduce los errores, garantiza un código seguro en el desarrollo de aplicaciones y ayuda a mantener el código.
  • La auditabilidad es importante para garantizar el cumplimiento de los controles de seguridad. Los controles de seguridad técnicos, procedimentales y administrativos deben ser auditables, estar bien documentados y cumplirse por todos los miembros del equipo.
  • La visibilidad es una buena práctica de gestión en general, pero muy importante para un entorno DevSecOps. Esto significa que la organización cuenta con un sólido sistema de monitoreo para medir el latido de la operación, enviar alertas, aumentar la conciencia de los cambios y ataques cibernéticos a medida que ocurren, y brindar responsabilidad durante todo el ciclo de vida del proyecto.
← Introducción al Módulo 10
Pruebas de seguridad de aplicación →