Privileged Access Management, Seguridad en la nube, Transformación digital

Protección de DevOps en la nube con la Gestión de Acceso Privilegiado (PAM)

Recientemente un atacante vulneró el famoso módulo de Node.js, de acuerdo con la plataforma CSO. Una vez que el atacante generó confianza y obtuvo acceso a nivel de propietario, este pudo promover una versión comprometida para fines maliciosos que ocultaba las credenciales de las hot wallet de Bitcoin y Ethereum en el código. Este suceso despertó la preocupación de todos aquellos que se dedican al desarrollo de software basado en la nube.

Con esta historia podemos comprobar lo difícil que puede llegar a ser el establecer una relación de confianza verificable con los compañeros de un proyecto de desarrollo de software basado en la nube. Esto es especialmente cierto en cuanto a Cloud DevOps, ya que su rápido ritmo y su estructura organizativa flexible provoca que las empresas sean vulnerables a las amenazas transmitidas por software.

La flexibilidad de Cloud DevOps puede hacer que las organizaciones sean particularmente vulnerables a las amenazas transmitidas por software.

¿Qué es Cloud DevOps?

Cloud DevOps es el resultado del desarrollo de un software y su posterior lanzamiento en plataformas informáticas que se encuentran en la nube mediante el uso del modelo DevOps. Como su nombre indica, DevOps es la combinación de equipos y procesos de desarrollo (Dev) con operaciones de TI (Ops) que antes estaban separados. Se trata de una actualización de los procesos de desarrollo de software tradicionales en los cuales el equipo de desarrollo era responsable de la codificación mientras que el de operaciones se encargaba de poner el código en marcha. Las pruebas tan solo eran un paso intermedio.

DevOps: la combinación del desarrollo (Dev) con las operaciones de TI (Ops).

Cloud DevOps: el resultado de desarrollar un software y lanzarlo en plataformas informáticas en la nube utilizando el modelo DevOps.

Desde el punto de vista de la agilidad y velocidad, este tardicional proceso de software presenta algunos inconvenientes. Cuando algunos equipos se desentienden de los problemas y dejan que otros sean los que se ocupen de ellos, el esfuerzo de liberación de software se vuelve lento y engorroso. En cambio, DevOps fusiona las personas con los flujos de trabajo de desarrollo y lanzamiento, lo que lo convierte en idóneo para las metodologías ágiles de desarrollo de software que prevalecen en la actualidad. DevOps también se alinea bien con la Integración Continua (CI), que es el proceso mediante el cual se inserta código nuevo en el software de producción en directo.

La nube se integra con naturalidad en DevOps: todo puede moverse mucho más rápido cuando no hay que configurar entornos de desarrollo locales. La nube también facilita que los equipos de DevOps colaboren a través de fronteras organizativas y geográficas. De manera similar, las nuevas tecnologías, como contenedores y microservicios, se benefician de la combinación de DevOps con la nube. Simplemente, todo funciona mejor, aunque también es menos seguro.

Riesgos de seguridad en Cloud DevOps

Es imprescindible que los responsables de TI tengan en cuenta que el Cloud DevOps es más peligroso que el DevOps local. Los incidentes como el hackeo de Node.js tan solo son una advertencia, ya que con la nube hay muchas más partes móviles y puntos de acceso remotos a los entornos de desarrollo y producción. Si existen entidades externas involucradas, como contratistas de TI y talleres de desarrollo, la exposición al riesgo puede multiplicarse . Los riesgos potenciales incluyen:

Inserción de código malicioso en software de producción, p. ej. ransomware
Uso indebido de los entornos de desarrollo y producción para filtraciones de datos o escuchas clandestinas
Implantación de rootkits en servidores de producción

Las infraestructuras en la nube tienen más partes móviles y puntos remotos de acceso que conllevan un potencial riesgo de intrusión externa.

El control de acceso como factor en el riesgo de Cloud DevOps

Para mantener Cloud DevOps seguro, es necesario poder responder las preguntas fundamentales que surgen a raíz de cualquier incidente de seguridad: ¿Quién?, ¿cómo? y ¿qué? Estas preguntas son relativamente fáciles de responder con el desarrollo del software tradicional, debido a que existen registros sobre quién accedió a los entornos de desarrollo (Dev). Si dispone de la Gestión de Acceso Privilegiado (PAM), podrá controlar a cualquier persona que realice sesiones administrativas en servidores de producción. En la nube, esto es menos seguro.

Gestión de Acceso Privilegiado y Cloud DevOps

Para mantener la seguridad de Cloud DevOps se necesita tener control sobre el acceso privilegiado a los back-ends de todos los elementos del sistema basados en la nube. Estos incluyen los entornos de desarrollo y prueba y, por supuesto, los entornos de producción. Dada la combinación de equipos y prácticas inherentes a DevOps, todos los componentes separados se pueden ver como parte de un único sistema.

Un usuario privilegiado tiene acceso administrativo de back-end a un sistema, y en Cloud DevOps casi todo el mundo tiene algún grado de acceso privilegiado. Es posible que estos no puedan modificar las cuentas de usuario y las configuraciones del sistema, pero si pueden iniciar sesión y modificar el código de producción, deben ser considerados como usuarios privilegiados. Estos usuarios también deben cumplir con las políticas de control de acceso de usuarios privilegiados sujetas a la Gestión de Acceso Privilegiado (PAM).

Una solución PAM logra este objetivo ya que está diseñada para garantizar que solo los administradores con los derechos de acceso adecuados puedan iniciar sesión en los sistemas back-end además de monitorear y administrar todos los accesos privilegiados a las cuentas. Esto se aplica tanto a la infraestructura de la nube como a los sistemas locales. En un caso práctico de Cloud DevOps, una solución PAM proporcionaría una forma segura y optimizada de autorizar y registrar las actividades de cualquier usuario en cualquier elemento del entorno de DevOps, independientemente de dónde esté alojado.

PAM proporciona una forma segura y optimizada de autorizar y registrar las actividades de los usuarios para mejorar la seguridad organizacional tanto para la infraestructura en la nube como para los sistemas locales.

En Cloud DevOps, la solución PAM puede administrar de manera centralizada y eficiente el acceso de los miembros del equipo de operaciones de TI y de los desarrolladores a través de los sistemas en la nube que administran. Esta solución aplica políticas que impiden a estos usuarios eludir los sistemas de seguridad. La solución PAM otorga y revoca privilegios a los desarrolladores y al personal de operaciones de TI. PAM también reduce el riesgo de acceso privilegiado a los entornos DevOps en la nube de antiguos desarrolladores o de personas que ya no necesitan dicho acceso.

Herramientas PAM para abordar los riesgos de mantenimiento de aplicaciones de terceros

WALLIX Bastion ofrece una solución PAM completa para Cloud DevOps. El bastión permite una implementación generalizada y sostenible en toda la infraestructura de la nube que admite DevOps. Lo hace mediante el establecimiento de una sola puerta de enlace con inicio de sesión único para el acceso de los desarrolladores y el personal de operaciones de TI. WALLIX Bastion funciona para sistemas en la nube pública, privada, híbrida y entornos locales.

WALLIX ofrece varios componentes, cada uno de los cuales desempeña un papel al abordar los riesgos de control de acceso en Cloud DevOps. El Access Manager permite a los usuarios conectarse a los recursos desde cualquier dispositivo sin la necesidad de instalar herramientas de acceso remoto. Las personas de Cloud DevOps de hoy tienden a ser móviles, por lo que esta capacidad es una ventaja en cuanto al cumplimiento de PAM. Todas las contraseñas se almacenan en un vault de contraseñas certificado y securizado.

El Session Manager de WALLIX monitorea en tiempo real la actividad de sesión de los usuarios privilegiados de Cloud DevOps creando una pista de auditoría completa. La herramienta se puede configurar para que intervenga automáticamente cuando se infringen las políticas de acceso a Cloud DevOps. Al asignar cada acceso a una identidad real, el Session Manager del bastión garantiza que todos los usuarios son responsables de sus acciones. WALLIX Bastion puede acelerar el proceso de interpretación de lo que pudo haber salido mal en un incidente.

WALLIX Bastion incluye funciones sólidas de gestión de acceso, gestión de sesiones y gestión de contraseñas.

La solución de WALLIX presenta una arquitectura sin agentes que mitiga significativamente el riesgo de que cualquier cambio en los sistemas protegidos requiera una amplia renovación de la solución PAM. Por el contrario, muchas otras soluciones PAM necesitan un agente de software especializado en cada dispositivo administrado o puesto de trabajo. Los agentes especializados pueden retrasar la implementación de PAM y crear dificultades cuando las aplicaciones se actualizan.

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Duración	Descripción
__hstc	1 year 24 days	This cookie is set by Hubspot and is used for tracking visitors. It contains the domain, utk, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
hubspotutk	1 year 24 days	This cookie is used by HubSpot to keep track of the visitors to the website. This cookie is passed to Hubspot on form submission and used when deduplicating contacts.
trackalyzer	1 year	This cookie is used by Leadlander. The cookie is used to analyse the website visitors and monitor traffic patterns.

Cookie	Duración	Descripción
__hssc	30 minutes	This cookie is set by HubSpot. The purpose of the cookie is to keep track of sessions. This is used to determine if HubSpot should increment the session number and timestamps in the __hstc cookie. It contains the domain, viewCount (increments each pageView in a session), and session start timestamp.
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
messagesUtk	1 year 24 days	This cookie is set by hubspot. This cookie is used to recognize the user who have chatted using the messages tool. This cookies is stored if the user leaves before they are added as a contact. If the returning user visits again with this cookie on the browser, the chat history with the user will be loaded.

Cookie	Duración	Descripción
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
__hssrc	session	This cookie is set by Hubspot. According to their documentation, whenever HubSpot changes the session cookie, this cookie is also set to determine if the visitor has restarted their browser. If this cookie does not exist when HubSpot manages cookies, it is considered a new session.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duración	Descripción
_gat_UA-12183334-1	1 minute	No description
AnalyticsSyncHistory	1 month	No description
CONSENT	16 years 9 months 23 days 12 hours 13 minutes	No description
UserMatchHistory	1 month	Linkedin - Used to track visitors on multiple websites, in order to present relevant advertisement based on the visitor's preferences.
wp-wpml_current_language	1 day	No description

Protección de DevOps en la nube con la Gestión de Acceso Privilegiado (PAM)

¿Qué es Cloud DevOps?

Riesgos de seguridad en Cloud DevOps

El control de acceso como factor en el riesgo de Cloud DevOps

Gestión de Acceso Privilegiado y Cloud DevOps

Herramientas PAM para abordar los riesgos de mantenimiento de aplicaciones de terceros

WALLIX Bastion incluye funciones sólidas de gestión de acceso, gestión de sesiones y gestión de contraseñas.

Ventajas de una integración Splunk-PAM

Privacidad y Seguridad desde el Diseño: lo que los fabricantes de IoT tienen que saber

Blogs Relacionados

Recursos Relacionados

Productos

Soluciones

Recursos

Acerca