Para un flujo de trabajo DevOps realmente eficiente, el enfoque de desarrollo y la seguridad de TI deben unirse. La transformación de DevOps a DevSecOps y, por tanto, la seguridad de las aplicaciones sin fisuras, puede apoyarse en diversos servicios y herramientas, como la plataforma en la nube Prisma de Palo Alto Networks.
El tiempo es oro: cada vez más empresas utilizan modelos DevOps para hacer más flexible, eficiente y rápida la entrega de aplicaciones. Todo ello se lleva a cabo rompiendo los silos de datos y mejorando la comunicación en los equipos implicados. Los resultados positivos suelen ser lanzamientos más rápidos, productos de mayor calidad y mayor satisfacción de los clientes. Sin embargo, las empresas suelen descuidar el aspecto de la seguridad cuando implementan DevOps.
Cambio a la izquierda
En esencia, DevSecOps es un modelo de colaboración entre los equipos de desarrollo (Dev), seguridad de TI (Sec) y operaciones de TI (Ops) - a través de todo el proceso de desarrollo, desde la integración y las pruebas hasta el despliegue y la implementación. Para que un enfoque DevOps se convierta en DevSecOps, la seguridad debe introducirse lo antes posible en el desarrollo con la ayuda de herramientas y automatización como parte de la cadena de suministro existente o recién establecida. A menudo se denomina enfoque de desplazamiento a la izquierda. Describe el desplazamiento de varias medidas de seguridad hacia la izquierda, es decir, hacia etapas anteriores del ciclo de vida del software. "Para ser más exactos, a la mayor brevedad posible, en lugar de realizar las comprobaciones necesarias de los aspectos de seguridad al final del ciclo de vida y como una especie de bloqueo de la liberación, como en muchas implementaciones tradicionales. Para ello, es necesario integrar estrechamente el desarrollo de software y la seguridad informática y los equipos que participan en ella. Tanto a nivel de procesos como en las herramientas utilizadas", explica Martin Zeitler, director de Ingeniería de Sistemas de la empresa experta en seguridad Palo Alto Networks.
Implementación de DevSecOps
En una fase temprana del ciclo de vida de una pieza de software, se deben probar aspectos de seguridad informática además de su funcionalidad. Esto ya incluye la selección de componentes de software, como la imagen base y el contenido de confianza, así como la selección y configuración de la infraestructura y la plataforma utilizadas. Aquí es donde entran en juego la integración continua (CI) y la entrega continua o el despliegue continuo (CD).
CI/CD es el conjunto de técnicas y herramientas que mejoran el desarrollo y la entrega de software proporcionando enfoques para la automatización y la supervisión continuas a lo largo del ciclo de vida del software. Se habla de canalización CI/CD cuando los pasos de la entrega de software se construyen unos sobre otros de forma automatizada como un proceso de retroalimentación autónomo. "Esto puede evitar que las aplicaciones que no cumplan los correspondientes requisitos mínimos y políticas definidas no se guarden en absoluto o, al menos, no puedan seguir utilizándose", afirma Zeitler. De este modo, los componentes utilizados, por ejemplo, las imágenes de contenedores, las aplicaciones sin servidor o las especificaciones de las aplicaciones, no solo se comprueban en busca de vulnerabilidades de seguridad conocidas, sino también de errores de configuración y violaciones de las normas de cumplimiento. Aquí se pueden utilizar varios métodos de aplicación de políticas.
La herramienta adecuada
Palo Alto ofrece su plataforma de seguridad nativa en la nube Prisma Cloud para que los equipos implicados puedan considerar todos los aspectos relevantes para la seguridad en las distintas fases. Allí se puede comprobar la vulnerabilidad de los procesos de desarrollo y el cumplimiento de la política en diferentes plataformas, infraestructuras en la nube y tipos de aplicaciones. Para proteger todas las fases del proceso incluso en complejas infraestructuras multicloud y entornos híbridos, existe la edición Palo Alto Prisma Cloud Compute. Esto también incluye funciones para un enfoque eficaz de DevSecOps: Evaluación de la vulnerabilidad, cumplimiento, integración de CI/CD, supervisión del comportamiento en tiempo de ejecución, cortafuegos nativos de la nube y controles de acceso.