DevOps, DevSecOps, el último gran olvidado.
La incorporación de la filosofía DevOps a las empresas no ha hecho más que aumentar en los últimos años. En consecuencia, ha surgido la aparición de nuevos roles como SRE, DevOps… que ayudan y facilitan a los equipos de desarrollo una puesta en valor del producto cada vez más rápida.
Justamente de esta necesidad de poner en valor cuanto antes nuestro producto, habla Carlos Buenosvinos en su ponencia en el evento CTO Summit del 2019. Él la define como "Deliveritis Aguda", ese “trastorno obsesivo compulsivo causado por la obsesión de entregar valor que generan espasmos físicos que suben código a producción”. Te recomiendo encarecidamente que escuches la charla.
Figura 2: Deliveritis Aguda | Carlos Buenosvinos
Existen muchas herramientas para ello, tantas, que termina haciéndose imposible conocerlas todas. Algunas proporcionadas por nuestro proveedor de cloud y otras provenientes de nuestro CI/CD que nos ayudan en nuestro día a día a desplegar. En muchos casos se trata de grandes empresas que cuentan con departamentos para crear sus propias herramientas y disponer de las configuraciones necesarias que ayuden a desplegar de una forma rápida, así como mantener la infraestructura a punto y segura.
DevSecOps también implica la automatización de algunas puertas de seguridad seleccionando las herramientas adecuadas de manera permanente para impedir que se ralentice el flujo de trabajo DevOps, así como acordar el uso de un IDE (entorno de desarrollo integrado) con funciones de seguridad. No obstante, su efectividad requiere más que herramientas nuevas: se basa en los cambios culturales de DevOps que integren el trabajo de los equipos de seguridad con la mayor agilidad posible.
Al igual que ocurre en DevOps, existen también multitud de herramientas que nos ayudan a controlar la parte de seguridad de nuestra infraestructura. Nadie está libre de recibir algún tipo de ataque y esto es algo que han dejado patente en numerosas ocasiones tanto administraciones públicas como grandes empresas que invierten cientos de miles de euros y dólares en mejorar su seguridad.
En conclusión, cuanto antes pongamos foco en la seguridad desde las fases iniciales del diseño de cualquier producto, menos posibilidades tendremos de recibir cualquier tipo de ataque, y en caso de sufrirlo, minimizar al máximo las consecuencias. Por eso es tan importante que las empresas cuenten con equipos de desarrollo dedicados exclusivamente a todos estos aspectos en materia de seguridad que hoy en día o se obvian o simplemente no se evalúan por desconocimiento.
Justamente de esta necesidad de poner en valor cuanto antes nuestro producto, habla Carlos Buenosvinos en su ponencia en el evento CTO Summit del 2019. Él la define como "Deliveritis Aguda", ese “trastorno obsesivo compulsivo causado por la obsesión de entregar valor que generan espasmos físicos que suben código a producción”. Te recomiendo encarecidamente que escuches la charla.
Figura 2: Deliveritis Aguda | Carlos Buenosvinos
Existen muchas herramientas para ello, tantas, que termina haciéndose imposible conocerlas todas. Algunas proporcionadas por nuestro proveedor de cloud y otras provenientes de nuestro CI/CD que nos ayudan en nuestro día a día a desplegar. En muchos casos se trata de grandes empresas que cuentan con departamentos para crear sus propias herramientas y disponer de las configuraciones necesarias que ayuden a desplegar de una forma rápida, así como mantener la infraestructura a punto y segura.
Crear una aplicación de esta metodología no es sencilla, debido a la gran cantidad de stacks que podemos estar empleando y a la evolución tan frenética de las herramientas existentes del mercado. Además, los proveedores cloud tampoco se quedan atrás en esto y siguen sacando una gran cantidad de features, lo que nos obliga a estar en constante proceso de aprendizaje.
Todo esto hace que cada vez veamos proliferar más infraestructura automatizada mediante tecnologías como Openshift o Kubernetes, que nos aseguran unos mínimos de seguridad junto a las políticas de nuestro proveedor de cloud. A veces ésta es suficiente, pero en muchos otros casos dejamos de revisar puntos claves introducidos por estas tecnologías o incluso por el stack con el que desarrollamos nuestras aplicaciones.
Figura 3: Landscape del cnf.io
Todo esto hace que cada vez veamos proliferar más infraestructura automatizada mediante tecnologías como Openshift o Kubernetes, que nos aseguran unos mínimos de seguridad junto a las políticas de nuestro proveedor de cloud. A veces ésta es suficiente, pero en muchos otros casos dejamos de revisar puntos claves introducidos por estas tecnologías o incluso por el stack con el que desarrollamos nuestras aplicaciones.
DevSecOps
También tengo que decir, que no siempre los problemas de seguridad surgen como consecuencia de nuestra infraestructura, como por ejemplo, la utilización de packages de terceros. La no aplicación de ciertos patrones a la hora de desarrollar pueden ser peajes libres para los ciberdelincuentes. Por eso mismo es tan importante aplicar el concepto DevSecOps e involucrarse en todas las fases de desarrollo de las aplicaciones desde el principio, empezando por el diseño de la infraestructura hasta su puesta en funcionamiento.
Figura 4: Libro de Docker:SecDevOps de 0xWord escrito por Elias Grande, Fran Ramírez y Rafael Troncoso |
DevSecOps también implica la automatización de algunas puertas de seguridad seleccionando las herramientas adecuadas de manera permanente para impedir que se ralentice el flujo de trabajo DevOps, así como acordar el uso de un IDE (entorno de desarrollo integrado) con funciones de seguridad. No obstante, su efectividad requiere más que herramientas nuevas: se basa en los cambios culturales de DevOps que integren el trabajo de los equipos de seguridad con la mayor agilidad posible.
Figura 5: Landscape de MomentuCyber
Al igual que ocurre en DevOps, existen también multitud de herramientas que nos ayudan a controlar la parte de seguridad de nuestra infraestructura. Nadie está libre de recibir algún tipo de ataque y esto es algo que han dejado patente en numerosas ocasiones tanto administraciones públicas como grandes empresas que invierten cientos de miles de euros y dólares en mejorar su seguridad.
Figura 6: Ataques informáticos en la administración pública
En conclusión, cuanto antes pongamos foco en la seguridad desde las fases iniciales del diseño de cualquier producto, menos posibilidades tendremos de recibir cualquier tipo de ataque, y en caso de sufrirlo, minimizar al máximo las consecuencias. Por eso es tan importante que las empresas cuenten con equipos de desarrollo dedicados exclusivamente a todos estos aspectos en materia de seguridad que hoy en día o se obvian o simplemente no se evalúan por desconocimiento.
Fórmate en DevOps / DevSecOps Online
Si quieres ampliar más sobre el tema, te invito a ver esta mesa redonda sobre DevOps (que acaba de publicarse en abierto) en el CTO Summit, el evento en el que participé junto a más de 20 profesionales del sector de la tecnología el pasado 2020.
Figura 7: Roundtable DevOps en CTO Summit 2020
Además, si quieres especializarte en esta área y dar un salto profesional en tu carrera, te invito a que eches un vistazo al programa del Bootcamp Online DevOps de GeeksHubs Academy (empieza el 8 de Octubre) del que formo parte también y junto a un equipo de docentes con muchísima experiencia en el sector.
En esta formación 100% Online y con modalidad Part-Time para que puedas compaginarlo con tu actividad profesional actual, adquirirás competencias en gestión de la infraestructura e incluso en el análisis de seguridad de la misma. También serás capaz de desplegar y tratarla como código y lo más importante al fin y al cabo: te permitirá llevar a cabo despliegues más seguros e infraestructuras mucho más robustas en tus desarrollos. Y además, recibirás un libro de apoyo de 0xWord y 500 Tempos de MyPublicInbox.
Autor: Javier Rodríguez Soler, CTO en Widitrade
Si quieres ampliar más sobre el tema, te invito a ver esta mesa redonda sobre DevOps (que acaba de publicarse en abierto) en el CTO Summit, el evento en el que participé junto a más de 20 profesionales del sector de la tecnología el pasado 2020.
Figura 7: Roundtable DevOps en CTO Summit 2020
En esta formación 100% Online y con modalidad Part-Time para que puedas compaginarlo con tu actividad profesional actual, adquirirás competencias en gestión de la infraestructura e incluso en el análisis de seguridad de la misma. También serás capaz de desplegar y tratarla como código y lo más importante al fin y al cabo: te permitirá llevar a cabo despliegues más seguros e infraestructuras mucho más robustas en tus desarrollos. Y además, recibirás un libro de apoyo de 0xWord y 500 Tempos de MyPublicInbox.
Autor: Javier Rodríguez Soler, CTO en Widitrade
No hay comentarios:
Publicar un comentario