Protección de DevOps en la nube con la Gestión de Acceso Privilegiado (PAM)

Recientemente un atacante vulneró el famoso módulo de Node.js, de acuerdo con la plataforma CSO. Una vez que el atacante generó confianza y obtuvo acceso a nivel de propietario, este pudo promover una versión comprometida para fines maliciosos que ocultaba las credenciales de las hot wallet de Bitcoin y Ethereum en el código. Este suceso despertó la preocupación de todos aquellos que se dedican al desarrollo de software basado en la nube.

Con esta historia podemos comprobar lo difícil que puede llegar a ser el establecer una relación de confianza verificable con los compañeros de un proyecto de desarrollo de software basado en la nube. Esto es especialmente cierto en cuanto a Cloud DevOps, ya que su rápido ritmo y su estructura organizativa flexible provoca que las empresas sean vulnerables a las amenazas transmitidas por software.

La flexibilidad de Cloud DevOps puede hacer que las organizaciones sean particularmente vulnerables a las amenazas transmitidas por software.

¿Qué es Cloud DevOps?

Cloud DevOps es el resultado del desarrollo de un software y su posterior lanzamiento en plataformas informáticas que se encuentran en la nube mediante el uso del modelo DevOps. Como su nombre indica, DevOps es la combinación de equipos y procesos de desarrollo (Dev) con operaciones de TI (Ops) que antes estaban separados. Se trata de una actualización de los procesos de desarrollo de software tradicionales en los cuales el equipo de desarrollo era responsable de la codificación mientras que el de operaciones se encargaba de poner el código en marcha. Las pruebas tan solo eran un paso intermedio.

DevOps: la combinación del desarrollo (Dev) con las operaciones de TI (Ops).

Cloud DevOps: el resultado de desarrollar un software y lanzarlo en plataformas informáticas en la nube utilizando el modelo DevOps.

Desde el punto de vista de la agilidad y velocidad, este tardicional proceso de software presenta algunos inconvenientes. Cuando algunos equipos se desentienden de los problemas y dejan que otros sean los que se ocupen de ellos, el esfuerzo de liberación de software se vuelve lento y engorroso. En cambio, DevOps fusiona las personas con los flujos de trabajo de desarrollo y lanzamiento, lo que lo convierte en idóneo para las metodologías ágiles de desarrollo de software que prevalecen en la actualidad. DevOps también se alinea bien con la Integración Continua (CI), que es el proceso mediante el cual se inserta código nuevo en el software de producción en directo.

La nube se integra con naturalidad en DevOps: todo puede moverse mucho más rápido cuando no hay que configurar entornos de desarrollo locales. La nube también facilita que los equipos de DevOps colaboren a través de fronteras organizativas y geográficas. De manera similar, las nuevas tecnologías, como contenedores y microservicios, se benefician de la combinación de DevOps con la nube. Simplemente, todo funciona mejor, aunque también es menos seguro.

Riesgos de seguridad en Cloud DevOps

Es imprescindible que los responsables de TI tengan en cuenta que el Cloud DevOps es más peligroso que el DevOps local. Los incidentes como el hackeo de Node.js tan solo son una advertencia, ya que con la nube hay muchas más partes móviles y puntos de acceso remotos a los entornos de desarrollo y producción. Si existen entidades externas involucradas, como contratistas de TI y talleres de desarrollo, la exposición al riesgo puede multiplicarse . Los riesgos potenciales incluyen:

  • Inserción de código malicioso en software de producción, p. ej. ransomware
  • Uso indebido de los entornos de desarrollo y producción para filtraciones de datos o escuchas clandestinas
  • Implantación de rootkits en servidores de producción

Las infraestructuras en la nube tienen más partes móviles y puntos remotos de acceso que conllevan un potencial riesgo de intrusión externa.

 

El control de acceso como factor en el riesgo de Cloud DevOps

cloud devops - PAM - access

Para mantener Cloud DevOps seguro, es necesario poder responder las preguntas fundamentales que surgen a raíz de cualquier incidente de seguridad: ¿Quién?, ¿cómo? y ¿qué? Estas preguntas son relativamente fáciles de responder con el desarrollo del software tradicional, debido a que existen registros sobre quién accedió a los entornos de desarrollo (Dev). Si dispone de la Gestión de Acceso Privilegiado (PAM), podrá controlar a cualquier persona que realice sesiones administrativas en servidores de producción. En la nube, esto es menos seguro.

Gestión de Acceso Privilegiado y Cloud DevOps

Para mantener la seguridad de Cloud DevOps se necesita tener control sobre el acceso privilegiado a los back-ends de todos los elementos del sistema basados en la nube. Estos incluyen los entornos de desarrollo y prueba y, por supuesto, los entornos de producción. Dada la combinación de equipos y prácticas inherentes a DevOps, todos los componentes separados se pueden ver como parte de un único sistema.

Un usuario privilegiado tiene acceso administrativo de back-end a un sistema, y en Cloud DevOps casi todo el mundo tiene algún grado de acceso privilegiado. Es posible que estos no puedan modificar las cuentas de usuario y las configuraciones del sistema, pero si pueden iniciar sesión y modificar el código de producción, deben ser considerados como usuarios privilegiados. Estos usuarios también deben cumplir con las políticas de control de acceso de usuarios privilegiados sujetas a la Gestión de Acceso Privilegiado (PAM).

Una solución PAM logra este objetivo ya que está diseñada para garantizar que solo los administradores con los derechos de acceso adecuados puedan iniciar sesión en los sistemas back-end además de monitorear y administrar todos los accesos privilegiados a las cuentas. Esto se aplica tanto a la infraestructura de la nube como a los sistemas locales. En un caso práctico de Cloud DevOps, una solución PAM proporcionaría una forma segura y optimizada de autorizar y registrar las actividades de cualquier usuario en cualquier elemento del entorno de DevOps, independientemente de dónde esté alojado.

PAM proporciona una forma segura y optimizada de autorizar y registrar las actividades de los usuarios para mejorar la seguridad organizacional tanto para la infraestructura en la nube como para los sistemas locales.

 

En Cloud DevOps, la solución PAM puede administrar de manera centralizada y eficiente el acceso de los miembros del equipo de operaciones de TI y de los desarrolladores a través de los sistemas en la nube que administran. Esta solución aplica políticas que impiden a estos usuarios eludir los sistemas de seguridad. La solución PAM otorga y revoca privilegios a los desarrolladores y al personal de operaciones de TI. PAM también reduce el riesgo de acceso privilegiado a los entornos DevOps en la nube de antiguos desarrolladores o de personas que ya no necesitan dicho acceso.

Herramientas PAM para abordar los riesgos de mantenimiento de aplicaciones de terceros

WALLIX Bastion ofrece una solución PAM completa para Cloud DevOps. El bastión permite una implementación generalizada y sostenible en toda la infraestructura de la nube que admite DevOps. Lo hace mediante el establecimiento de una sola puerta de enlace con inicio de sesión único para el acceso de los desarrolladores y el personal de operaciones de TI. WALLIX Bastion funciona para sistemas en la nube pública, privada, híbrida y entornos locales.

cloud devops - PAM - secure

WALLIX ofrece varios componentes, cada uno de los cuales desempeña un papel al abordar los riesgos de control de acceso en Cloud DevOps. El   Access Manager permite a los usuarios conectarse a los recursos desde cualquier dispositivo sin la necesidad de instalar herramientas de acceso remoto. Las personas de Cloud DevOps de hoy tienden a ser móviles, por lo que esta capacidad es una ventaja en cuanto al cumplimiento de PAM. Todas las contraseñas se almacenan en un vault de contraseñas certificado y securizado.

El Session Manager de WALLIX monitorea en tiempo real la actividad de sesión de los usuarios privilegiados de Cloud DevOps creando una pista de auditoría completa. La herramienta se puede configurar para que intervenga automáticamente cuando se infringen las políticas de acceso a Cloud DevOps. Al asignar cada acceso a una identidad real, el Session Manager del bastión garantiza que todos los usuarios son responsables de sus acciones. WALLIX Bastion puede acelerar el proceso de interpretación de lo que pudo haber salido mal en un incidente.

WALLIX Bastion incluye funciones sólidas de gestión de acceso, gestión de sesiones y gestión de contraseñas.

La solución de WALLIX presenta una arquitectura sin agentes que mitiga significativamente el riesgo de que cualquier cambio en los sistemas protegidos requiera una amplia renovación de la solución PAM. Por el contrario, muchas otras soluciones PAM necesitan un agente de software especializado en cada dispositivo administrado o puesto de trabajo. Los agentes especializados pueden retrasar la implementación de PAM y crear dificultades cuando las aplicaciones se actualizan.