Cómo encajan los controles de seguridad de DevOps y CIS

Cómo encajan los controles de seguridad de DevOps y CIS

El Centro para la Seguridad en Internet Controles de seguridad críticos se ha convertido en un conjunto de controles estándar de la industria para proteger la empresa. Ahora en la versión 8, los 20 controles originales se han reducido a 18 con varios controles secundarios agregados.

Los primeros seis controles básicos pueden prevenir el 85 % de los ataques cibernéticos más comunes y, aunque los controles se han desarrollado teniendo en cuenta los centros de datos y los procesos tradicionales, no hay motivo para que no se puedan adaptar a las prácticas de DevOps.

Seguridad de DevOps y CIS

Una revisión rápida de los controles básicos proporcionará algunas ideas de cómo se adaptan a DevOps y dónde no se alinean con las prácticas de DevOps. Control 1 y Control 2 tratan sobre inventarios: inventario y control de activos empresariales y de software.

La infraestructura en un entorno de nube se convierte en infraestructura virtualizada: contenedores y repositorios, máquinas virtuales, funciones lambda, microservicios, API, etc. Sin embargo, el principio sigue en pie: saber qué infraestructura subyacente está autorizada en su entorno y detectar implementaciones no autorizadas es fundamental.

En un sistema de nube altamente dinámico con servidores efímeros que se implementan y destruyen constantemente, es aún más importante saber si lo que se está implementando debe implementarse y si está autorizado para estar en su entorno. Considere sus controles actuales y cómo supervisa su entorno de tiempo de ejecución. ¿Cómo sabe que lo que se está ejecutando está autorizado para ejecutarse y ejecuta aplicaciones y servicios aprobados?

Si no tiene una respuesta para esas preguntas, revise sus diagramas arquitectónicos y canalización de CI/CD y piense en las herramientas a su disposición para obtener una mejor vista de sus activos de «hardware». Estos pueden ser nativos de su entorno de nube, soluciones de terceros y/o un proceso de gestión de inventario que usted señale. Hay una ventaja adicional en el seguimiento y la garantía de que los activos de su entorno estén autorizados y en funcionamiento: el ahorro de costes. Ejecutar solo lo que necesita, cuando lo necesita, proporciona un control de seguridad y es bueno para el resultado final.

Los inventarios de software también ofrecen un desafío interesante que tradicionalmente se administraría con procesos CMDB e ITSM. Para algunas partes de DevOps, esto aún podría funcionar. Es una buena práctica tener un conjunto definido de herramientas autorizadas y estandarizadas para la canalización y un repositorio de bibliotecas y software permitidos disponibles para los desarrolladores.

Por otro lado, un entorno de nube puede estar cambiando tan rápidamente que mantener un inventario de software no es práctico. La clave es controlar el riesgo. Saber qué se está ejecutando en su entorno y si está previsto y autorizado también significa que sabe si algo no debería estar allí. Ese software o servicio puede no ser malicioso. Simplemente puede introducir un riesgo adicional y eliminarlo sería algo bueno.

Una posible aplicación de esto es incluir en la lista de permitidos qué aplicaciones están permitidas en los contenedores. Dentro de su canalización de CI/CD, escanear un contenedor para ejecutar aplicaciones y agregar una regla que imponga una puerta de calidad para la cual se permiten las aplicaciones interrumpiría la compilación si encuentra algo fuera de la lista de permitidos. Si, por ejemplo, el escaneo encuentra SSH ejecutándose pero SSH no es necesario para la aplicación, esto podría causar que la puerta de calidad falle y rompa la compilación. Un desarrollador necesitaría eliminar esta biblioteca para continuar, reduciendo la superficie de ataque y creando una compilación más limpia.

Control 7 es gestión de vulnerabilidades (VM), y escribí sobre este proceso en una publicación de blog anterior sobre controles de detección y preventivos. La VM debe implementarse como una puerta de calidad antes de la implementación, y también es fundamental en el tiempo de ejecución. Saber qué vulnerabilidades hay en su entorno y remediar esas vulnerabilidades con la mayor frecuencia posible mantiene sus aplicaciones y servicios seguros. DevOps es particularmente adecuado para parches y actualizaciones rápidas, por lo que este control encaja perfectamente con el paradigma y debe integrarse desde el principio. Al igual que con el monitoreo de aplicaciones, el escaneo de vulnerabilidades también se puede usar para imponer una puerta de calidad en la tubería, asegurando que los sistemas de vulnerabilidad no se implementen en la producción.

Los controles 5 y 6 se refieren a la gestión de privilegios. Idealmente, los privilegios administrativos ya están extremadamente limitados y controlados, ya que debería haber poca necesidad de acceso elevado en la mayoría de los casos. herramientas DevOps, como Bóveda de Hashicorp, tienen formas de administrar el acceso y los procesos; esto incluye verificar las claves de acceso privilegiado que caducan en un corto período de tiempo, lo que limita la exposición al riesgo. Esto es coherente con el modelo de confianza cero y limita lo que se puede hacer, por quién y cuándo, todo limita la superficie de ataque de una manera muy ordenada.

La configuración segura es el cuarto control y, una vez más, esto debería ser algo que encaje muy bien en la canalización de compilación. Evaluar la configuración de las compilaciones antes de la implementación de producción es otra puerta de calidad que se puede integrar directamente en la canalización. Por ejemplo, si una máquina virtual o un contenedor tiene una política de que debe cumplir con los puntos de referencia de CIS, evaluar ese cumplimiento podría ser una puerta de calidad. La evaluación del tiempo de ejecución también debe incluirse para monitorear la desviación de la configuración y el entorno de la nube en sí también debe evaluarse continuamente. Hay muchas herramientas para evaluar si la infraestructura de la nube subyacente es segura y debe monitorear para validar que las configuraciones de la nube sigan las mejores prácticas.

Finalmente, el monitoreo y análisis de registros es el último de los controles básicos. Hay una serie de herramientas de registro nativas de la nube para las diversas plataformas en la nube, y muchas de ellas ya tienen un monitoreo de seguridad específico incorporado. Al igual que con otros controles, la tubería en sí no debe descuidarse y la aplicación, el acceso y otros registros implementarse para las herramientas de compilación e implementación. Esto no solo proporciona controles de detección para cosas como el acceso no autorizado, sino que también proporciona evidencia forense para la respuesta a incidentes o incluso ajustes operativos cuando las cosas no salen exactamente como se planeó. El repudio es un elemento clave de la seguridad y el registro garantiza que sepa quién hizo qué y cuándo.

Use HCiberSeguritypara cumplir con los controles de CIS

Vea cómo los controles de seguridad simples y efectivos pueden crear un marco que lo ayude a proteger su organización y sus datos de vectores de ataques cibernéticos conocidos al descargar esta guía aquí.

Publicaciones Similares