Por qué los certificados digitales son tan importantes para sus equipos DevOps

Las organizaciones están integrando cada vez más DevOps en sus procesos de desarrollo de aplicaciones. Según Amazon Web Services (AWS), DevOps es muy prometedor para las organizaciones porque tiene el potencial de aumentar la velocidad y la capacidad de implementar nuevas aplicaciones y servicios. Lo hace haciendo que los equipos de desarrollo y operación trabajen juntos durante todo el ciclo de vida de la aplicación. (Los equipos de seguridad también pueden involucrarse en un proceso conocido como DevSecOps). Juntos, el personal de desarrollo y operaciones utilizan pilas y herramientas tecnológicas extendidas para automatizar procesos que tradicionalmente han realizado manualmente.

No hace falta decir que las organizaciones pueden obtener muchos beneficios al adoptar un modelo DevOps. Cuando se les deja en sus silos, los desarrolladores, el personal de operaciones, los profesionales de seguridad e incluso la gente de control de calidad no conocen necesariamente los obstáculos que podrían interponerse en el camino de un proyecto que finaliza a tiempo. Eso es porque estos grupos agregan algo diferente a una tarea. Como señaló Digital.ai, no necesariamente abordan su trabajo desde la misma comprensión del contexto comercial o el valor de una nueva aplicación. Como tal, estos equipos podrían incluso tener objetivos opuestos que podrían retrasar un proyecto y conducir a luchas internas.

Certificados digitales: un desafío para que DevOps se mantenga al día con la seguridad

Las organizaciones quieren aprovechar al máximo la integración de sus diferentes equipos bajo un modelo DevOps. Reconociendo ese hecho, no sorprende que DevOps como mentalidad cambie constantemente en un intento de adaptarse al panorama tecnológico en constante evolución. Por lo tanto, DevOps debe mantenerse al día con el campo de la seguridad de la información.

Sid Phadkar, director senior de productos de Akamai, dejó claro este punto a TechRepublic :

Con el creciente número de violaciones de datos y un mayor énfasis en las regulaciones de privacidad de datos como PSD2 y GDPR tanto en los EE. UU. como a nivel mundial, las organizaciones expertas en DevOps se verán obligadas a priorizar la diligencia en las medidas de seguridad en el mercado durante el próximo año. A medida que se implementen nuevas regulaciones, más desarrolladores de aplicaciones tendrán el mandato de crear políticas de seguridad estrictas directamente dentro del código. Habrá un repunte en las herramientas DevOps que se encargan de automatizar más tareas relacionadas con el cumplimiento dentro de los equipos de seguridad de la información, incorporando así medidas de seguridad y cumplimiento en los flujos de trabajo diarios de CI.

El problema es que no siempre es fácil alinear DevOps con la seguridad. De hecho, Keyfactor señaló que muchas organizaciones luchan por hacer cumplir políticas de seguridad consistentes en torno a DevOps debido a los conflictos discutidos anteriormente. Las buenas prácticas de seguridad comúnmente entran en contacto con la entrega oportuna de una nueva aplicación o servicio. Sin las herramientas adecuadas para admitir DevOps, el personal de seguridad no puede brindar asistencia a los desarrolladores de la forma en que necesitan asistencia. Por lo tanto, los desarrolladores estarán más inclinados a resistirse a las nuevas prácticas de seguridad y a encontrar alternativas no conformes a los nuevos procesos que los ralentizan.

Estos desafíos son de especial interés para la gestión del ciclo de vida de los certificados. Las organizaciones necesitan proteger el ciclo de vida de DevOps con PKI mediante la firma de código o la creación de un certificado. Pero como señaló AppViewX, esta implementación de PKI a menudo sufre de poca visibilidad de los ciclos de vida de los certificados y una comunicación inconsistente con las autoridades de certificación.

Las canalizaciones de DevOps convencionales también suelen depender de solicitudes manuales para obtener certificados de confianza. Estos tipos de solicitudes socavan la agilidad del ciclo de vida del desarrollo de software. La mayoría de los contenedores no están activos por mucho tiempo, por lo que si esas solicitudes tardan días en completarse, los certificados digitales resultantes serán inútiles a menos que la organización retrase la entrega de aplicaciones. Tal dinamismo también dificulta que DevOps administre y monitoree esos certificados por su cuenta. Por lo tanto, los miembros del equipo podrían buscar atajos, recurrir a procesos ad hoc o comprar certificados que utilizan múltiples estándares criptográficos, variaciones que aumentan el riesgo de seguridad de la organización.

Estas preocupaciones no resuenan solo entre los analistas de la industria. También los comparten los profesionales de DevOps. En una encuesta de 2019, el 74 % de los profesionales de DevOps dijeron a Venafi que les preocupaba que la emisión de certificados pudiera ralentizar el desarrollo. Un poco más de un tercio (39 %) de los desarrolladores dijeron que deberían poder eludir esas políticas para cumplir con sus acuerdos de nivel de servicio, mientras que menos de la mitad (48 %) de los encuestados expresaron su creencia de que los desarrolladores de su organización siempre solicitan certificados a través de canales. y métodos aprobados por el equipo de seguridad.

Cómo los equipos de DevOps pueden manejar mejor sus certificados

En respuesta a los desafíos discutidos anteriormente, los equipos de DevOps pueden manejar mejor sus certificados al automatizar sus procesos de administración de certificados. Como señaló DevOps.com, las herramientas de orquestación como Kubernetes admiten la gestión de certificados a través del protocolo ACME. Kubernetes almacena claves privadas en Kubernetes Secret o Hashicorp Vault, lo que proporciona una integración perfecta para el sistema de gestión de certificados. Los equipos de DevOps también pueden firmar digitalmente sus contenedores con una CA privada para ayudar a verificar un contenedor determinado mientras se comunica a través de una conexión TLS.

Además de la automatización, DevOps necesita aumentar la visibilidad de sus certificados para evitar interrupciones innecesarias. Los miembros del equipo deben poder renovar los certificados antes de que caduquen y abordar las configuraciones incorrectas para asegurarse de que los servicios críticos permanezcan activos. TechBeacon señala que DevOps debe usar colecciones de automatización impulsadas por API llamadas "recetas" para orquestar sus procesos que involucran claves y certificados en un intento de equilibrar la agilidad y la seguridad.

¿Tiene alguna idea sobre esto? Háganos saber a continuación en los comentarios o lleve la discusión a nuestro Twitter o Facebook.

Recomendaciones de los editores:

• ¿Cómo implementar pruebas continuas en DevOps?
• Los ingenieros de AWS DevOps están haciendo una MATANZA: comience su carrera con este paquete de cursos de $ 30
• Cómo DevOps puede proteger los datos de los clientes
• Cómo DevOps está transformando el desarrollo de software

Nota del editor: David Bisson es un escritor de seguridad de la información y un adicto a la seguridad. Es editor colaborador de Security Intelligence de IBM y The State of Security Blog de Tripwire, y es escritor colaborador de Bora. También produce regularmente contenido escrito para Zix y otras empresas en el espacio de la seguridad digital.