Cada vez más, las organizaciones que necesitan adaptar su negocio a un mercado que no deja de evolucionar rápidamente, despliegan sus aplicaciones mediante contenedores y metodologías basadas en micro servicios y DevOps. A menudo, olvidando que en este nuevo entorno, cualquier fallo de seguridad puede causar graves perjuicios a la empresa.
Ante esta realidad, los especialistas en seguridad de Logicalis, de la mano de distintos partners tecnológicos, han creado un servicio global y ha definido un portfolio de soluciones de seguridad con el objetivo de ayudar a superar los retos de seguridad y en el buen gobierno que comportan los escenarios DevOps.
Los departamentos de desarrollo y operaciones de las empresas suelen ver la integración de la seguridad en la metodología DevOps como un obstáculo a su agilidad. Además, para securizar este tipo de entornos, la mayoría de lass herramientas de seguridad del pasado no están diseñadas para ello. En los últimos tiempos, hemos visto grandes cambios y adquisiciones de empresas del sector de la seguridad Cloud por parte de grandes compañías como Checkpoint, Palo Alto Networks, Trend Micro, CyberArk, F5 Networks, etc. para adaptarse a las necesidades que plantean los nuevos tipos de ataque y los nuevos retos tecnológicos.
Desde Logicalis hemos apostado por acompañar a nuestros clientes en la rápida implementación de una cultura DevSecOps. Nuestra visión sobre lo que representa el concepto DevSecOps va más allá de establecer seguridad perimetral para los datos y las aplicaciones. El concepto DevSecOps de Logicalis se refiere a la integración de las capas de seguridad durante todo el ciclo de vida (pipeline) de desarrollo y despliegue de software (CI/CD). Esta visión implica securizar las aplicaciones y la infraestructura (IaC o Infraestructura como Código) desde el inicio.
Necesitamos que nuestros clientes se den cuenta que la detección de errores es sumamente importante desde las primeras etapas de desarrollo, evitando que estos fallos se compliquen y que su corrección sea demasiado costosa. Por ello debemos tratar la seguridad como una parte más del proceso de diseño (security by design).
En el pipeline de una aplicación encontramos tres etapas claramente diferenciadas: compilación (build), despliegue (pre-runtime), y ejecución (runtime). El sentido de los controles de seguridad variará en función de la etapa en la que estemos, lo que nos aconseja que implementemos dichos controles de forma automatizada dentro del pipeline, evitando que el flujo de trabajo de DevOps nunca se vea ralentizado.
En la etapa de desarrollo (build), por ejemplo, la seguridad debe tener como objetivo principal la eliminación de vulnerabilidades, malware y código inseguro. Por otro lado, en la fase de ejecución (runtime), el objetivo principal será asegurar que los containers se ejacutan en un entorno confiable y que no se detecta ningún comportamiento anómalo que genere una vulnerabilidad de seguridad. Además, en arquitecturas de micro servicios, donde nos encontramos con gran cantidad de funciones que interactúan entre ellas, las soluciones como “API management” cobran aún más sentido.
Logicalis ofrece a los clientes un framework de seguridad que incluye soluciones de distintos fabricantes para proteger no sólo el pipeline y el código de la aplicación (DevOps), sinó también los propios containers, las máquinas y el entorno en el cual se despliegan y ejecutan.
A continuación, detallamos el conjunto de buenas prácticas que conforma la visión de Logicalis:
Escaneo continuo de seguridad:
- Detección de vulnerabilidades debido a código que proviene de fuentes no confiables.
- Detección de datos sensibles (tokens, secretos, claves privadas, etc.) que puedan estar expuestos en código e imágenes.
- Detección de malware embebido y malas configuraciones.
Monitorización de los contenedores y detección de comportamientos anómalos:
- Restringir ciertas llamadas APIs durante la fase de ejecución, y únicamente permitir las conexiones que sean estrictamente necesarias.
- Monitorización y trazabilidad del comportamiento del contenedor.
- Conexiones y tráfico sospechoso entre máquinas.
- Monitorización de recursos en los contenedores (CPU, memoria, peticiones, uso, rendimiento, etc).
- Controlar tráfico y conectividad entre micro servicios (API Gateway).
Control y trazabilidad de accesos centralizado:
- Detección de posible escalado de privilegios (llamadas de sistema no permitidas) y limitar número de plugins con exceso de privilegios.
- Logging de todos los intentos de acceso a repositorios de datos sensibles.
- Analizar comportamiento de las APIs y disminuir el número de APIs expuestas (seguridad API Gateway).
Protección de la infraestructura (contenedores, host, orquestrador):
- Detección de posibles ataques de malware o DoS.
- Protección ante posible inyección de código malicioso (WAF).
- Detección de accesos indebidos a las máquinas.
Dada esta gran variedad de puntos a cubrir, es imperativo integrar soluciones y tecnologías de distintos fabricantes, ya que ninguno los cubre todos.
Logicalis, para poder ofrecer a nuestros clientes una aproximación más global, que permita desplegar tecnologías diversas como por ejemplo: API gateways, gestión de secretos, monitorización y gestión vulnerabilidades, auditoría y compliance continuo, etc., contamos con fabricantes como F5, Palo Alto, CyberArk, o Trend Micro.