Cruzando el pasillo: Cómo los equipos de seguridad de la información pueden dejar de volver locos a los ingenieros

Nadie niega la necesidad de altos niveles de seguridad en la empresa actual. La seguridad ha sido una prioridad absoluta durante mucho tiempo y seguirá siéndolo en un futuro previsible.

Pero ahora hay una nueva prioridad que debe ir de la mano de la seguridad: la velocidad.

Incrementar la velocidad de desarrollo puede que no suene ni de lejos tan importante como la seguridad para los equipos de InfoSec, pero en el vertiginoso e innovador mercado actual, la velocidad es esencial para el éxito.

Más allá de la enorme ventaja que supone ser el primero en llegar al mercado, los consumidores de tecnología (tanto si se trata de tecnología B2C como B2B) esperan actualizaciones periódicas y rápidas para seguir el ritmo de su insaciable apetito de innovación. Y están dispuestos a cambiar si no obtienen lo que esperan.

Este panorama ha ejercido una presión increíble sobre los equipos de ingeniería para que entreguen más y más rápido. Tras años de transición a nuevas desarrollocomo DevOps y la integración continua/entrega continua (CI/CD), y la introducción de nueva tecnología para satisfacer esta demanda, los equipos de ingeniería están finalmente bien posicionados para entregar a la velocidad necesaria. Ahora, solo hay un problema: la seguridad.

A medida que los equipos de ingeniería acumulaban la velocidad necesaria para ofrecer más y más rápido, surgió un obstáculo en forma de seguridad. Hay muchos retos entre desarrolladores y los equipos de seguridad, peropero uno de los puntos débiles de que surge con más frecuencia es la lucha por gestionar los secretos. secretos, como criptográficos y certificados X.509 en entornos DevOps.

En la actualidad, la mayoría de las empresas utilizan infraestructura de clave pública (PKI) para emitir X.509 certificados que ayudan a proteger los datos sensibles, firmar códigoy conectar de forma segura a los usuarios finales con las aplicaciones. Esto significa que gran parte de lo que construyen los equipos de ingeniería requiere X.509 certificados en DevOps y operaciones multi-nube para autenticar comunicaciones.

Lamentablemente, la mayoría de los equipos de ingeniería han descubierto que el proceso para solicitar X.509 certificados en DevOps al equipo de PKI o InfoSec, por no mencionar las actividades de gestión posteriores a lo largo del ciclo de vida del certificado, son procesos lentos y manuales. En un mundo impulsado por la velocidad, esto no funciona.

Para evitar esta ralentización, muchos equipos de ingeniería emiten sus propios certificados a través de conocidas herramientas conocidas como AWS Certificate Manager, Azure Key Vault, Kubernetes y HashiCorp Vault. Enstas son herramientas potentes que pueden utilizarse para mejorar la seguridadpero en muchos casos, se utilizan de forma que eluden las políticas de seguridad y crean lagunas de visibilidad, por lo que muchos de los certificados resultantes no cumplen las las normas de seguridad de la empresa.

Los equipos de InfoSec centrados en reducir el riesgo a menudo ponen en marcha procesos para dirigir ingenieros a través de más controlledpero más lenta solicitud manual de certificados tuberías. Si bien sus esfuerzos pueden estar destinados a reinar en la seguridad, también están ralentizando significativamente los equipos de ingeniería que ponen mucho trabajo para acelerar los procesos de desarrollo. Ahora, los dos equipos están a menudo en desacuerdo.

A pesar de los retos existentes, los equipos de InfoSec pueden tomar medidas para satisfacer simultáneamente las necesidades de velocidad y seguridad, y dejar de volver locos a los equipos de ingeniería.

En lugar de poner freno a todo lo que los equipos de ingeniería han hecho para acumular la velocidad necesaria, los equipos de InfoSec deberían asociarse con sus homólogos de ingeniería para encontrar una solución que funcione para ambos equipos. Para ello, los equipos de InfoSec pueden dar los siguientes pasos:

1. Comprender la perspectiva de ingeniería: Para empezar, los equipos de InfoSec deben comprender el alcance total de la situación actual. Esto implica reconocer que los equipos de ingeniería necesitan moverse con rapidez y que a muchos no les preocupa demasiado desde dónde se emiten los certificados ni qué políticas cumplen, siempre y cuando tengan lo que necesitan para seguir avanzando a toda velocidad. En otras palabras, los equipos de ingeniería no intentan eludir a propósito las políticas de seguridad emitiendo sus propios certificados, simplemente intentan mantener una cierta velocidad de desarrollo.
2. Identificar las herramientas y procesos que utiliza ingeniería: A continuación, los equipos de InfoSec deben identificar exactamente cómo emiten sus equipos de ingeniería X.509 certificados en DevOps (suponiendo que lo hagan por su cuenta). Este paso debería proporcionar información sobre las herramientas y procesos en los que los protocolos de seguridad tendrán que encajar para no interrumpir todo lo que el equipo de ingeniería ha construido.
   
3. Introducir controles de back-end en los procesos de autoservicio existentes: La mejor forma de avanzar para los equipos de InfoSec es integrarlos en las arquitecturas de ingeniería existentes. Para ello, es necesario introducir una solución PKI que ofrezca los controles de back-end necesarios para la seguridad y la visibilidad, al tiempo que se integra en las herramientas y procesos de ingeniería en el front-end. Idealmente, este enfoque debería permitir a los ingenieros continuar con su actividad habitual, emitiendo sus propios certificados bajo demanda según sea necesario, al tiempo que proporciona a los equipos de InfoSec altos niveles de control en el back-end que dictan desde dónde se emiten esos certificados y que proporcionan visibilidad centralizada de todos los certificados que se emiten.
4. Automatice la gestión de certificados para evitar interrupciones y ralentizaciones: Por último, los equipos de InfoSec deberían utilizar la misma solución PKI para automatizar la gestión de certificados. Esta automatización permite a los equipos de InfoSec gestionar cientos de miles de certificados X.509 certificados en DevOps de forma más eficaz para seguir el ritmo del aumento del volumen y la velocidad a la que se emiten. A su vez, ayuda a garantizar que los equipos de InfoSec puedan seguir evitando ralentizaciones a lo largo del ciclo de vida de los certificados y emitir nuevos cuando sea necesario para evitar interrupciones.

Aunque la velocidad y la seguridad parecen estar reñidas en la empresa actual, ambas son esenciales para el éxito. Afortunadamente, los equipos de InfoSec e ingeniería ya no tienen que ya no tienen que enfrentarse para promover una prioridad sobre la otra, ya que ahora existen soluciones que pueden satisfacer ambas necesidades.

El camino a seguir pasa por la introducción de controles internos de las herramientas y procesos de ingeniería, junto con la emisión automatizada de certificados. automatizada de certificados certificados X.509 en los procesos DevOps. De este modo se proporciona la supervisión y visibilidad necesarias para que los equipos de InfoSec mantengan la seguridad sin interrumpir la arquitectura que los equipos de ingeniería han construido para aumentar la velocidad de desarrollo.

Es fundamental que los equipos de seguridad de la información marquen el camino asociándose con sus equipos de ingeniería para mantener estas conversaciones e introducir las soluciones necesarias.

¿Quieres saber más sobre lo que hace falta? Haga clic aquí para descargar el libro electrónico Seguridad a la velocidad de DevOps: Cómo pueden colaborar la seguridad y DevOps para mitigar los riesgos