A pesar de todas las diferencias que existen entre los equipos de DevOps y los de seguridad, ya que las empresas intentan equilibrar simultáneamente la velocidad de desarrollo y la seguridad, hay algo que puede unir a estos dos equipos: tla lucha para detener interrupciones interrupciones.
Las interrupciones de las aplicaciones crean quebraderos de cabeza tanto a los equipos de DevOps como a los de seguridad, y unir fuerzas para detener a este enemigo común puede ser justo lo que ayude a estos equipos a colaborar mejor.
Por qué las interrupciones afectan tanto a DevOps como a la seguridad
Hay muchas razones por las que pueden producirse cortes, pero una de las causas más comunes es la caducidad de los certificados X.509 caducados, lo que afecta tanto a DevOps como a la seguridad.
En la actualidad, la mayoría de las empresas utilizan infraestructuras de clave pública (PKI) para gestionar la seguridad digital. PKI rige la emisión de X.509 para proteger datos sensibles, autenticar usuarios, dispositivos y aplicaciones y asegurar las comunicaciones de extremo a extremo. Este enfoque se ha cada vez más importante en los entornos DevOps entornos DevOps de ritmo rápido dondee nube-nativas de la nube y conjuntos de herramientas ahora requierene numerosos puntos de conexión, cada uno de los cuales requiere unn certificado X.509 certificado para la autenticación.
En resumen, la gestión de certificados en DevOps es difícil. Ta complejidad de las aplicaciones actuales ha aumentado la necesidad de comunicaciones seguras de máquina a máquina, mientras que el rápido ritmo al que los equipos de DevOps crean nuevas soluciones y actualizan las aplicaciones también ha aumentado la velocidad a la que deben emitirse estos certificados.
Como el volumen y la velocidad de X.509 en la empresa ha aumentado, muchos equipos de seguridad han perdido el control. Esto sucede como resultado de que los desarrolladores emiten sus propios certificados a través de herramientas de open-source o CA integradas como Let's Encrypt, AWS, Microsoft Azure, Kubernetes y HashiCorp Vaulta menudo sin el conocimiento de sus equipos de seguridad.
En última instancia, esta situación de equipos DevOps que introducen procesos en la sombra para emitir X.509 certificados X.509 ha hecho casi imposible que los responsables de seguridad realicen un seguimiento y gestionen esos certificados a lo largo de su ciclo de vida. Y cuando el equipo de seguridad carece de gestión de certificados en DevOpscomo descubrimiento y renovación de certificados antes de que caduquen, es probable que se produzcan interrupciones.
5 pasos que los equipos de DevOps y seguridad pueden dar para evitar cortes de servicio
La situación de desarrolladores y equipos de operaciones eludiendo la seguridad y emitiendo sus propios certificados ha creado enormes problemas en torno a la visibilidad y el certificado certificados en DevOps que hacen que las interrupciones más comunes.
Afortunadamente, existe una forma de que los equipos de DevOps y seguridad se asocien no sólo para mantener la velocidad necesaria para los procesos de desarrollo, sino también para dar a la seguridad la visibilidad y el control que necesitan para proporcionar la mejor gestión de certificados de su clase. gestión de certificados en DevOps y evitar las interrupciones resultantes.
La solución empieza con cinco pasos clave:
1) Aumentar la visibilidad de los equipos de seguridad
Los equipos de seguridad necesitan una solución que pueda proporcionar una visibilidad completa de todos los certificados de la organización en forma de una vista en tiempo real que muestre detalles sobre dónde residen los certificados, quién los emitió y cuándo caducan.
Lograr esta visibilidad de extremo a extremo requiere integraciones directas tanto con las CA que emiten los certificados como con los dispositivos finales y las aplicaciones que los consumen. Esta visibilidad es esencial para proporcionar a los equipos de seguridad la información que necesitan para evitar de forma proactiva problemas con certificados mal configurados o caducados, y prevenir las interrupciones resultantes.
2) Introducir opciones de autoservicio para desarrolladores
Presentamos una autoservicio autoservicio modelo para solicitar certificados que encaja en los diversos conjuntos de herramientas que los desarrolladores utilizan hoy en día hace que el proceso de obtención de nuevos certificados sea fácil y accesible para los equipos de DevOps. Es importante destacar que la gestión de certificados en DevOps que proporciona API e interfaces para la inscripción rápida y sencilla de certificados y que pueda conectarse al back-end de soluciones que los desarrolladores ya utilizan, como HashiCorp Vault, Kubernetes y AWS, también proporciona visibilidad y control a los equipos de seguridad. Esto significa que la experiencia front-end para los desarrolladores parece la misma que los procesos en la sombra que han adoptadopero el back-end se rige por la herramienta de gestión de herramienta de gestión de certificados para garantizar el cumplimiento y ofrecer una visibilidad total de los certificados.
3) Automatizar la gestión de certificados en DevOps
La automatización del ciclo de vida completo de las tareas relacionadas con los certificados ofrece enormes ventajas. En concreto, garantiza que la gestión de cualquier necesidad de DevOps relacionada con los certificados requiera un esfuerzo mínimo o nulo, para no ralentizar a los desarrolladores mientras trabajan con plazos ajustados y, por tanto, protegerlos frente a la creación por parte de los equipos de DevOps de procesos en la sombra que la seguridad no pueda rastrear.
Mientras tanto, también ayuda a evitar problemas como las interrupciones de servicio, agilizando los procesos de seguridad para que la gestión del ciclo de vida de los certificados sea mucho más sencilla y eficaz. La automatización integral abarca desde la recepción de solicitudes hasta la emisión, renovación, provisión y revocación.
4) Dar a los equipos de seguridad un control más estricto de las políticas
Dar a los equipos de seguridad visibilidad de todos los certificados, automatizar la gestión de certificados y garantizar que los equipos DevOps utilizan certificados emitidos a través de los canales adecuados, allana el camino para un control más estricto de las políticas. A su vez, permite a los equipos de seguridad aplicar una política y una gobernanza coherentes en todas las CA y herramientas de la organización, así como supervisar e informar de forma más eficaz sobre los certificados para gestionarlos, revocarlos y reemitirlos según sea necesario. Este tipo de control de políticas garantiza que la responsabilidad recaiga en el equipo de seguridad, lo que es importante para impulsar la protección proactiva frente a problemas y comprender las responsabilidades en caso de que se produzcan problemas como interrupciones del servicio.
5) Mejorar la escalabilidad para avanzar a la velocidad necesaria
Por fin, gestión de certificados en DevOps debe ser escalable para moverse tan rápido como sea necesario, lo que en algunos casos puede significar emitir y renovar miles de certificados por segundo. Este nivel de nivel de Este nivel de escala y velocidad es fundamental para garantizar que los equipos de DevOps sigan el procedimiento de forma coherente y emitan certificados conformes en todo momento, en lugar de recurrir a certificados no conformes.en lugar de recurrir a alternativas no conformes.
Una de las capacidades más importantes para ofrecer esta escalabilidad, sobre todo cuando se trata de evitar interrupciones, es la capacidad de ampliar rápidamente la infraestructura de PKI y los procesos de gestión de certificados.a capacidad de ampliar rápidamente la infraestructura PKI y los procesos de gestión de certificados. Aa automatización ayuda a aumentar la velocidad (con precisión) y facilita a los equipos de seguridad la supervisión y gestión de cientos de miles de certificados. Sin embargo, también debe asegurarse de que las CA backend y la infraestructura de revocaciónure puedan gestionar la velocidad y el volumen crecientes de certificados. Puede que haya llegado el momento de replantearse la forma en que construye y mantiene su PKI para garantizar que sigue el ritmo de DevOps y los requisitos de la empresa.
¿Puede un enemigo común unir a sus equipos de desarrollo y seguridad?
Las interrupciones se producen con mucha más frecuencia de lo que deberían, sobre todo teniendo en cuenta lo prevenibles que son muchas de ellas. Sin embargo, para evitar que se produzcan la mayoría de estas interrupciones es necesario que los equipos de DevOps y seguridad colaboren para aumentar la visibilidad de la seguridad en los certificados X.509 y permitir una mejor gestión de certificados en DevOps. En un mundo en el que ambos equipos suelen estar enfrentados, la colaboración parece una tarea difícil, pero es posible. Y cuando ocurre, los beneficios -desde la prevención de interrupciones y más allá- son innegables.
¿Está preparado para saber más sobre lo que se necesita para que DevOps y la seguridad unan sus fuerzas? Haga clic a continuación para descargar el eBook Security at the Speed of DevOps: How Security & DevOps Can Collaborate to Mitigate Risk:
