Este blog está coescrito con Robert Masterson de Thales
"Hacer DevOps no sucede de la noche a la mañana -hay paradas y arranques, giros equivocados y mejoras incrementales a lo largo del camino- pero no hay duda de que DevOps está teniendo un impacto en la forma en que construimos y entregamos aplicaciones, y en las herramientas que usamos para hacerlo. También está cambiando la forma en que tenemos que pensar en la seguridad, que a menudo queda relegada a un segundo plano en nuestro impulso hacia una mayor productividad y una entrega más rápida.
Para poner las cosas en perspectiva, Gartner predice que para 2022, más del 75% de las organizaciones globales estarán ejecutando aplicaciones en contenedores en producción, un aumento significativo de menos del 30% en la actualidad. Aunque DevOps no está definido por la tecnología, sin duda ha impulsado un aumento en el número de herramientas que podemos utilizar para apoyar la transición a la integración continua y la entrega continua (CI/CD), desde plataformas de orquestación de contenedores hasta herramientas de colaboración. Por no hablar de la variedad de lenguajes de programación y configuraciones multicloud.
Nuestra pregunta es, ¿dónde encaja la seguridad? En el último año, hemos asistido a innumerables conferencias y presentaciones en las que se han presentado nuevas herramientas DevOps, pero rara vez hemos oído hablar de la seguridad, sobre todo cuando se trata de claves criptográficas y certificados digitales. A pesar de la importancia crítica de las claves y los certificados en la firma de código, el cifrado y la autenticación en todo el entorno DevOps, los equipos de seguridad a menudo no tienen casi ninguna visibilidad o control sobre ellos.
Retos de la alineación de DevOps con las políticas de seguridad
A la mayoría de las organizaciones les cuesta imponer una seguridad y una gobernanza coherentes en torno a los procesos DevOps, pero ¿debería sorprendernos? Puede que los equipos de seguridad se encarguen de mitigar los riesgos, pero las buenas prácticas de seguridad casi siempre estarán por detrás de la entrega de funcionalidades a los ojos de los desarrolladores. Sin las herramientas adecuadas a su disposición, los equipos de seguridad tienen dificultades para igualar el nivel de automatización y flexibilidad que los desarrolladores necesitan para adoptar de buen grado las buenas prácticas de seguridad.
La mayoría de los equipos de DevOps siguen operando dentro de un silo que les permite funcionar con la infraestructura y las herramientas que prefieren, al tiempo que se mantienen alejados de las políticas corporativas de TI y seguridad. Evitan las barreras que imponen los equipos de seguridad y, en lugar de adoptar estas políticas, optan por alternativas que no cumplen la normativa. Los procesos manuales y basados en tickets para instalar certificados requieren un tiempo del que los desarrolladores no disponen, por lo que recurren a secuencias de comandos propias y a fuentes PKI no autorizadas o inseguras.
Los servicios en la nube, las herramientas de open-source y las plataformas de orquestación con capacidades integradas facilitan a los desarrolladores la obtención de certificados cuando y donde los necesitan, pero esto introduce riesgos para la seguridad y el cumplimiento, ya que los certificados a menudo no se rastrean o no se gestionan. A los grupos de infoseguridad encargados de hacerlo bien a menudo les resulta casi imposible evitar que certificados desconocidos o no conformes provoquen interrupciones perjudiciales y lagunas de seguridad.
Sin la plataforma adecuada para gestionar estos certificados a escala, los equipos de seguridad se quedan cortos.
Keyfactor Command: Innovación segura para DevOps
Keyfactor Command ofrece una única plataforma que permite a los equipos DevOps acceder de forma rápida y sencilla a claves y certificados digitales, mientras que los equipos de seguridad conservan una visibilidad y un control totales, aplican políticas coherentes y garantizan que los certificados sólo proceden de CA públicas e internas de confianza.
La plataforma también se integra con herramientas a lo largo de su canal CI/CD como Docker, Jenkins y HashiCorp Vault (entre otras) para proporcionar una única fuente de confianza para los certificados. Las integraciones directas a través de REST API o ACME también pueden hacer que los procesos sean totalmente transparentes y automatizados. De este modo, los desarrolladores no tienen que abandonar su flujo de trabajo para obtener e instalar certificados. Esto alivia los procesos de seguridad manuales y lentos que los equipos de DevOps evitaban anteriormente.
Mejor aún, las empresas pueden ejecutar todo esto en la parte superior de nuestra oferta completa de PKI como servicio, una PKI específica y dedicada, alojada en la nube. Nuestras raíces como servicio de consultoría nos proporcionan años de experiencia en la creación y gestión de una PKI adecuada, lo que permite a los equipos de desarrollo y seguridad centrarse en sus competencias principales, en lugar de crear y gestionar varias CA internas o confiar únicamente en herramientas gratuitas de open-source que a menudo no cumplen las políticas corporativas de TI y seguridad.
Keyfactor & Thales: PKI integrada de forma segura para DevOps
Keyfactor sigue desarrollando su plataforma, incluida la reciente introducción de compatibilidad con el protocolo ACME y HashiCorp Vault. Todo ello, junto con una amplia cartera de funciones de automatización, API e integraciones, simplifica la incorporación de la tan necesaria gestión de certificados para los equipos de DevOps. Facilita un ciclo de vida optimizado para los certificados digitales y la firma en todo el proceso, desde el desarrollo hasta la implantación continua y el tiempo de ejecución.
El HSM basado en la nube de Thales -conocido como Data Protection on Demand (DPoD)- y el HSM local SafeNet Luna proporcionan una raíz de confianza hardware para la plataforma Keyfactor . Nuestra plataforma se integra de forma nativa con los HSM de Thales para garantizar que las claves privadas de CA críticas y las claves de firma de código se mantienen seguras en todo momento. Los HSM ofrecen un almacenamiento de alta seguridad y a prueba de manipulaciones para proteger las claves privadas de usos indebidos o robos, ya que los atacantes se centran cada vez más en estos activos para firmar código malicioso o suplantar la identidad de entidades de confianza.
El viaje de DevOps puede ser todo un reto. Hacer bien DevOps significa que la seguridad debe integrarse en todo el ciclo de vida de desarrollo de software , pero, por supuesto, necesitará las herramientas adecuadas para conseguirlo. Cuando se trata de PKI, Keyfactor y Thales se han asociado para garantizar que tanto los equipos de DevOps como los de seguridad puedan alcanzar objetivos mutuos a través de la seguridad integrada, la aplicación de políticas y la automatización. Les permitimos avanzar con rapidez y mantenerse por delante de la competencia, sin sacrificar la seguridad.
Descubra cómo la automatización del ciclo de vida de los certificados puede ayudarle a alcanzar los objetivos de DevOps y seguridad. Descargue el libro electrónico de DevOps.com: