Cambiar a la izquierda es una mentira... Más o menos

Cambiar a la izquierda es una mentira… Más o menos

Sería difícil estar involucrado en la tecnología de alguna manera y no ver la dramática tendencia al alza en la adopción de DevOps.

En su publicación de enero de 2019 “Cinco tendencias clave para comparar el progreso de DevOps”, la investigación de Forrester encontró que el 56 por ciento de las empresas estaban ‘implementando, implementando o expandiendo’ DevOps. Además, el 51 % de los adoptantes han adoptado DevOps para todas las aplicaciones nuevas o para todas.

Claramente, la adopción de DevOps está aquí y sigue creciendo. Sin embargo, como ocurre con cualquier desarrollo tecnológico significativo, la seguridad es una consideración importante y, a menudo, secundaria para muchas organizaciones. Algunos incluso lo ven como un obstáculo para la adopción por un período de tiempo.

Hemos visto este patrón antes con la virtualización y todavía lo estamos viendo con la nube. Entonces, ¿dónde estamos con la seguridad y DevOps?

HCiberSegurityrealizó recientemente una encuesta para comprender mejor el estado actual de la seguridad y DevOps.

Los resultados mostraron que la gran mayoría de los encuestados (94 por ciento) están preocupados por la seguridad de los contenedores, con los porcentajes más altos que carecen de conocimiento (54 por ciento), visibilidad (52 por ciento) y la capacidad de evaluar los contenedores antes del despliegue (43 por ciento). Y la preocupación no es infundada. El sesenta por ciento de los encuestados ha tenido incidentes de seguridad de contenedores en el último año. Entonces, mientras la adopción continúa creciendo, la seguridad es un gran problema para DevOps, especialmente para los contenedores.

La solución contundente que se promueve en el mercado es ‘desplazarse a la izquierda’. Es decir, trasladar la aplicación de controles de seguridad del lado de operaciones del ciclo de vida de DevOps al lado de desarrollo. Después de todo, identificar y abordar los hallazgos de seguridad antes de la implementación siempre es mejor que en producción. No hay nada malo con esta declaración. es exacto Pero hay mentiras por descubrir en este mantra de ‘cambio a la izquierda’.

Mentira n.º 1: la seguridad de las operaciones no es realmente importante si se desplaza a la izquierda

Está implícito en el lenguaje utilizado en el mercado que un cambio a la izquierda significa que no tiene que pasar tanto tiempo en el lado derecho de la ecuación. Los controles de seguridad operacional tradicionales ya no son tan importantes. Después de todo, si solo implementa contenedores o imágenes seguras, ¿por qué necesita monitorearlos en busca de cambios, vulnerabilidades o configuraciones incorrectas?

Sorprendentemente, este no es un argumento nuevo, y la idea de que implementar sistemas seguros es una buena práctica tampoco es nueva. Rara vez sucede en estos días, pero hubo un momento en que no era raro que una organización afirmara que no necesitaban buscar vulnerabilidades porque, para empezar, implementaron compilaciones seguras.

La realidad de los sistemas de producción es que cambian, y si los sistemas mismos no cambian, entonces el entorno de amenazas sí lo hace. Los controles de seguridad de producción siguen siendo una parte vital de cualquier entorno DevOps.

Mentira #2: Se requieren nuevos controles de seguridad para DevOps

Es un error común pensar que la nueva tecnología trae amenazas fundamentalmente nuevas y, por lo tanto, requiere nuevos controles. La nueva tecnología puede requerir nuevas herramientas, pero los controles de seguridad básicos necesarios no cambian tan rápido.

Si comienza con la perspectiva de qué controles de seguridad necesita para DevOps, encontrará que no son realmente nuevos: administración de configuración y vulnerabilidad, detección de cambios, administración de registros, etc. Si comienza con la tecnología, encontrará termine con herramientas y capacidades que quizás no necesite realmente o que no pueda poner en funcionamiento de manera efectiva. Esto no quiere decir que sus herramientas de seguridad existentes puedan reutilizarse para el lado de desarrollo de DevOps, sino más bien que comenzar con los controles necesarios producirá mejores resultados.

Si bien es divertido usar un lenguaje dramático en una publicación de blog o una presentación para mantener a la audiencia interesada, no quita la realidad de que descubrir estas «mentiras» es importante para la seguridad de la información. La tendencia a ver DevOps como una oportunidad para ‘avanzar’ y ‘girar a la izquierda’ conlleva el riesgo de que comencemos a ignorar las lecciones aprendidas de décadas de seguridad de la información.

DevOps no requiere que nos desplacemos a la izquierda, sino que nos expandamos a la izquierda, abordando la seguridad a lo largo del ciclo de vida de DevOps. La preproducción y la producción requieren controles de seguridad. Ignorar cualquiera de los lados de la ecuación deja un riesgo y una oportunidad inaceptables para los atacantes.

Comprender qué controles se requieren a lo largo del ciclo de vida permite que la conversación sobre qué herramientas se pueden usar para proporcionar esos controles ocurra de manera productiva.

El 12 de marzo de 2019, Tim Erlin estará presentando este material en el Expo Nube y Ciberseguridad en Londres.

Publicaciones Similares