A medida que las empresas y organizaciones buscan aprovechar cada vez más los beneficios de los entornos basados en DevOps, también reconocen la necesidad crítica de proteger este tipo de herramientas.
- Establecer y aplicar políticas para la selección y configuración de herramientas DevOps. Como no se puede proteger lo que no se conoce, el primer paso es elaborar un inventario completo de las herramientas DevOps que utilizan los equipos de desarrollo. Se trata de una tarea realmente importante para las herramientas de código abierto, ya que el 58% de las empresas actuales utiliza este código, en gran medida, para suavizar el proceso de aprendizaje. A continuación, se debe realizar una evaluación exhaustiva para identificar cualquier deficiencia de seguridad existente y abordarla de inmediato. Además, hay que comprobar que las herramientas no se utilicen con una configuración predeterminada no segura y que estén actualizadas.
- Controlar el acceso a las herramientas DevOps. Dado que los atacantes solo necesitan explotar una vulnerabilidad para llevar a cabo su misión, es importante abordar los requisitos de seguridad y las vulnerabilidades potenciales de manera integral. Es decir, asegurar los secretos y las credenciales de las herramientas de administración de la nube y DevOps en un vault cifrado protegido con autenticación multifactor (MFA). Se debe proporcionar un acceso privilegiado a los usuarios (solo cuando sea necesario para realizar ciertas tareas), si bien hay que asegurarse de que este uso temporal esté controlado. Por último, hay que limitar el acceso a comandos de alto riesgo dentro de las herramientas DevOps. Otras prácticas de higiene cibernética recomiendan configurar controles de acceso que segregan los flujos (pipelines) de DevOps para que los atacantes no puedan acceder a uno y, posteriormente, pasar a otro. Garantizar que las credenciales y los secretos no se compartan entre las cuentas de herramientas DevOps y las cuentas de administrador de sistemas de Windows y, finalmente, eliminar todas las cuentas innecesarias con acceso a las herramientas DevOps.
- Reducir la concentración de privilegios. ¿Cómo? Limitando el nivel de acceso de cada usuario a las herramientas DevOps al mínimo privilegio necesario para su función y configurar estas herramientas para que requieran autorización dual para ciertas funciones críticas. Además, se debe implementar la segregación de funciones para herramientas de automatización como Jenkins que, a menudo, terminan teniendo demasiados privilegios y son capaces de realizar todas las tareas sin restricciones.
- Asegurar que los repositorios de código no expongan secretos. Más allá de las credenciales, el código puede contener detalles sobre la red interna de la organización que podrían ser útiles para los atacantes. Por ese motivo, es recomendable utilizar un repositorio de código local en lugar de un repositorio de código en la nube, en caso de poder hacerlo sin afectar negativamente el flujo de trabajo. Si se utilizan repositorios en la nube, hay que asegurarse de que estén configurados como privados. Y, en cualquier caso, realizar escaneo de código para estar seguros de que no contiene secretos.
- Proteger y monitorizar la infraestructura. Los cibercriminales buscan el camino de menor resistencia (por ejemplo, un correo electrónico de phishing bien diseñado), así que asegúrese de que todos los puestos de trabajo y servidores se sometan regularmente a parcheado, escaneo de vulnerabilidades y monitorización de seguridad. Monitorice su infraestructura en la nube en busca de signos de utilización inusual de credenciales o cambios de configuración y asegúrese de que las imágenes de máquinas virtuales y contenedores provengan de una fuente autorizada y estén actualizadas.