A pesar de todas las brechas que existen entre los equipos de DevOps y seguridad, mientras las empresas intentan equilibrar la velocidad de desarrollo y la seguridad simultáneamente, hay algo que puede unir a estos dos equipos: la lucha para detener las interrupciones disruptivas y costosas.
Las interrupciones en las aplicaciones generan problemas tanto para los equipos de DevOps como para los de seguridad, y unir fuerzas para detener a este enemigo común podría ser precisamente lo que ayude a estos equipos a colaborar mejor.
¿Por qué las interrupciones afectan tanto a DevOps como a la seguridad?
Existen muchas razones por las que pueden producirse interrupciones, pero una de las causas más comunes son los certificados X.509 caducados, lo que afecta tanto a DevOps como a la seguridad.
La mayoría de las empresas actuales utilizan la Infraestructura de Clave Pública (PKI) para gestionar la seguridad digital. La PKI rige la emisión de certificados X.509 para proteger datos sensibles, autenticar usuarios, dispositivos y aplicaciones, y asegurar las comunicaciones de extremo a extremo. Este enfoque ha adquirido una importancia creciente en los entornos DevOps actuales, altamente conectados y de ritmo rápido donde las aplicaciones –nativas de la nube y los conjuntos de herramientas ahora requieren numerosos puntos de conexión, cada uno de los cuales necesita un certificado X.509 para la autenticación.
En resumen, la gestión de certificados en DevOps es compleja. La complejidad de las aplicaciones actuales ha incrementado la necesidad de comunicaciones seguras de máquina a máquina, mientras que el ritmo rápido al que los equipos de DevOps construyen nuevas soluciones y actualizan aplicaciones también ha aumentado la velocidad a la que deben emitirse estos certificados.
A medida que el volumen y la velocidad de los certificados X.509 en la empresa han aumentado, muchos equipos de seguridad han perdido el control. Esto ocurre como resultado de que los desarrolladores emiten sus propios certificados a través de herramientas open-source o CA integradas como Let’s Encrypt, AWS, Microsoft Azure, Kubernetes y HashiCorp Vault, a menudo sin el conocimiento de sus equipos de seguridad.
En última instancia, esta situación en la que los equipos de DevOps introducen procesos en la sombra para la emisión de certificados X.509 ha hecho casi imposible que los líderes de seguridad rastreen y gestionen esos certificados a lo largo de su ciclo de vida. Y cuando el equipo de seguridad carece de gestión de certificados en DevOps, como el descubrimiento y la renovación de certificados antes de que caduquen, es probable que se produzcan interrupciones.
5 pasos que los equipos de DevOps y seguridad pueden seguir para prevenir interrupciones
La situación en la que los equipos de desarrolladores y operaciones eluden la seguridad y emiten sus propios certificados ha generado enormes problemas en torno a la visibilidad y la gestión de certificados en DevOps que hacen que las interrupciones sean más comunes.
Afortunadamente, existe una forma para que los equipos de DevOps y seguridad colaboren no solo para mantener la velocidad necesaria en los procesos de desarrollo, sino también para proporcionar a seguridad la visibilidad y el control que necesitan para ofrecer una gestión de certificados de primera clase en DevOps y, como resultado, evitar interrupciones.
La solución comienza con cinco pasos clave:
1) Aumentar la visibilidad para los equipos de seguridad
Los equipos de seguridad necesitan una solución que pueda proporcionar visibilidad completa de todos los certificados dentro de la organización en forma de una vista en tiempo real que muestre detalles sobre dónde residen los certificados, quién los emitió y cuándo caducan.
Lograr esta visibilidad de extremo a extremo requiere integraciones directas tanto con las CA que emiten los certificados como con los dispositivos finales y las aplicaciones que los consumen. Esta visibilidad es esencial para proporcionar a los equipos de seguridad la información que necesitan para evitar proactivamente problemas con certificados mal configurados o caducados y, como resultado, prevenir interrupciones.
2) Introducir opciones de autoservicio para desarrolladores
La introducción de un modelo de autoservicio rápido y sencillo para solicitar certificados que se adapte a los diversos conjuntos de herramientas que los desarrolladores utilizan hoy en día, facilita y hace accesible el proceso de obtención de nuevos certificados para los equipos de DevOps. Es importante destacar que la gestión de certificados en DevOps que proporciona API e interfaces para una inscripción de certificados rápida y sencilla, y que puede integrarse en el back-end de soluciones que los desarrolladores ya utilizan, como HashiCorp Vault, Kubernetes y AWS, también ofrece visibilidad y control a los equipos de seguridad. Esto significa que la experiencia de front-end para los desarrolladores parece la misma que los procesos en la sombra que han adoptado, pero el back-end está gobernado por la herramienta de gestión de certificados del equipo de seguridad para garantizar el cumplimiento y proporcionar visibilidad completa de los certificados.
3) Automatizar la gestión de certificados en DevOps
Automatizar el ciclo de vida de extremo a extremo de las tareas relacionadas con los certificados ofrece enormes beneficios. Específicamente, asegura que la gestión de cualquier necesidad de DevOps relacionada con certificados requiera un esfuerzo mínimo o nulo, para no ralentizar a los desarrolladores mientras trabajan con plazos ajustados y, por lo tanto, proteger contra la creación de procesos en la sombra por parte de los equipos de DevOps que la seguridad no puede rastrear.
Mientras tanto, también ayuda a evitar problemas como las interrupciones al optimizar los procesos de seguridad para hacer que la gestión del ciclo de vida de los certificados, siguiendo las mejores prácticas en cientos de miles de certificados, sea mucho más fácil y eficiente. La automatización de extremo a extremo abarca desde la recepción de solicitudes hasta la emisión, renovación, aprovisionamiento y revocación.
4) Proporcionar a los equipos de seguridad un control de políticas más estricto
Proporcionar a los equipos de seguridad visibilidad de todos los certificados, automatizar la gestión de certificados y asegurar que los equipos de DevOps utilicen certificados emitidos a través de los canales apropiados, allana el camino para un control de políticas más estricto. A su vez, permite a los equipos de seguridad aplicar políticas y gobernanza coherentes en todas las CA y herramientas de la organización, y monitorear e informar de manera más efectiva sobre los certificados para gestionarlos, revocarlos y reemitirlos según sea necesario. Este tipo de control de políticas asegura que la responsabilidad recaiga en el equipo de seguridad, lo cual es importante para impulsar la protección proactiva contra problemas y comprender las responsabilidades si ocurren incidentes como interrupciones.
5) Mejorar la escalabilidad para avanzar a la velocidad necesaria
Finalmente, la gestión de certificados en DevOps debe ser escalable para operar a la velocidad necesaria, lo que en algunos casos puede implicar la emisión y renovación de miles de certificados por segundo. Este nivel de escala y velocidad es fundamental para garantizar que los equipos de DevOps sigan los procedimientos de manera consistente y emitan certificados conformes en todo momento, en lugar de recurrir a alternativas no conformes.
Una de las capacidades más importantes para lograr esta escalabilidad, especialmente para evitar interrupciones, es la capacidad de escalar rápidamente la infraestructura PKI y los procesos de gestión de certificados. La automatización ayuda a aumentar la velocidad (con precisión) y facilita a los equipos de seguridad la supervisión y gestión de cientos de miles de certificados. Sin embargo, también debe asegurarse de que las CA de backend y la infraestructura de revocación puedan manejar una velocidad y un volumen crecientes de certificados . Puede que sea el momento de replantearse la forma en que construye y mantiene su PKI para asegurar que se mantenga al ritmo de los requisitos de DevOps y de la empresa.
¿Puede un enemigo común unir a sus equipos de DevOps y seguridad?
Las interrupciones ocurren con mucha más frecuencia de lo que deberían, especialmente considerando lo prevenibles que son muchas de ellas. Sin embargo, para evitar la mayoría de estas interrupciones, los equipos de DevOps y seguridad deben colaborar para aumentar la visibilidad de la seguridad en los certificados X.509 y permitir una mejor gestión de certificados en DevOps. En un mundo donde los dos equipos a menudo están en desacuerdo, la colaboración parece una tarea difícil, pero es posible. Y cuando sucede, los beneficios —desde la prevención de interrupciones y más allá— son innegables.
¿Listo para saber más sobre lo que se necesita para ayudar a DevOps y seguridad a unir fuerzas? Haga clic a continuación para descargar el eBook Seguridad a la Velocidad de DevOps: Cómo Seguridad y DevOps Pueden Colaborar para Mitigar el Riesgo:
