Facilita un entorno DevOps seguro

El movimiento DevOps de rápido crecimiento proporciona una gran oportunidad para entregar soluciones con mayor rapidez de comercialización al confiar en este proceso de colaboración, automatizado y dinámico. Aunque este ecosistema contenedor se centra en la integración continua, no fue esencialmente diseñado con la seguridad como prioridad.  Por lo tanto, las organizaciones a menudo se ven forzadas a realizar compensaciones difíciles entre velocidad, eficacia y seguridad.

Esto se hace particularmente evidente cuando se trata de cuentas privilegiadas. Debido a la naturaleza dinámica del entorno DevOps, las cuentas privilegiadas nuevas proliferan  dentro de la infraestructura informática a un ritmo muy rápido, lo que deja lugar a una superficie de ataque amplia.  Muy anheladas por los atacantes debido al amplio acceso que conceden, las credenciales privilegiadas pueden encontrarse integradas en muchas soluciones DevOps, tales como herramientas de automatización, configuración y organización que funcionan dentro del entorno.  Estas credenciales integradas y compartidas son difíciles de proteger y giran sin riesgo de ocasionar trastornos en el flujo de trabajo de Integración Continua y Despliegue Continuo (siglas en inglés CI/CD). Ya que los promotores requieren este flujo de trabajo de CI/CD fácil y rápido para realizar sus trabajos eficazmente, los usuarios “heartbeat” (por ejemplo, creadores, operadores informáticos y administradores) con frecuencia terminan con muchos más privilegios de los que necesitan. El resultado es que virtualmente cada usuario puede gestionar sistemas potencialmente, desarrollar códigos y acceder al entorno de producción total.

El entorno DevOps, activo, rápidamente cambiante, hace que el mantenimiento de la visibilidad y control de todas las cuentas sea el reto principal de las organizaciones de hoy.

Para proteger el entorno DevOps, bloquear cuentas privilegiadas y finalmente ayudar a impedir filtraciones de información y otros compromisos, las organizaciones deben aplicar de manera proactiva controles de seguridad que puedan:

  • Gestionar, proteger y controlar el acceso a cuentas privilegiadas. Deben gestionarse y protegerse todas las cuentas privilegiadas en el entorno DevOps.  Como parte de esto las credenciales deberán almacenarse de forma centralizada y deberán rotarse regularmente. Para mantener la separación de funciones, el acceso a las credenciales deberá estar controlado con el fin de que solamente las personas autorizadas tengan acceso a cuentas privilegiadas.
  • Protege las credenciales utilizadas por aplicaciones y scripts. Las credenciales utilizadas por soluciones DevOps para autentificar y acceder a recursos sensibles deberán gestionarse y protegerse. Deberán eliminarse de los archivos de códigos y configuración, almacenarse de forma segura en un depósito central, y deberán rotarse regularmente.  Además, cada ejemplo de aplicación deberá tener su propia cuenta exclusiva y credencial. Estas credenciales deberán retirarse tan pronto como dejen de ser necesarias.
  • Autentificar y autorizar apps y acceso del contenedor a recursos DevOps sensibles Para mantener apps maliciosos fuera del ecosistema DevOps, las solicitudes de acceso a distintos recursos DevOps, así como las  solicitudes web entre aplicación y servicios, deberán concederse solamente después de que se haya comprobado la autentificación de la entidad que lo consultó (apps y contenedores).
  • Imposición de privilegios mínimos Para reducir el riesgo de errores y abuso de privilegios sin que afecte a la productividad, las organizaciones deberán limitar el acceso de privilegios y gestionar de manera centralizada el escalonamiento de privilegios. Esto es particularmente importante para cuentas de servicios: todas las que son utilizadas por las herramientas COTS o CI/CD deberán suministrarse o no suministrarse por medio de un proceso automatizado al tiempo que se mantiene el principio de privilegio mínimo y cumple con las políticas de acceso de la organización,
  • Supervisar actividad del usuario El seguimiento de la actividad de los creadores a lo largo del ciclo de vida de desarrollo de software, sabiendo quién ha creado una imagen y la ha añadido al Registro, y quién realizó los cambios en los privilegios, espacios de nombres, procesos y políticas, es necesario para mantener control del entorno.

El entorno DevOps solamente está tan seguro como las credenciales privilegiadas requeridas para acceder a los recursos sensibles. Los atacantes motivados reconocen el aumento explosivo de cuentas privilegiadas a lo largo de todo el ecosistema del contenedor, y por tanto, con frecuencia se dirigen a ellos específicamente como parte de la ruta crítica para un ataque cibernético exitoso. Esa es la razón por la que las credenciales privilegiadas utilizadas como parte del ciclo de vida del despliegue deben estar adecuadamente protegidas, no como una ocurrencia tardía, sino al principio, cuando se crea un usuario o activo nuevo.

La solución de seguridad de cuenta privilegiada de CyberArk está integrada en el canal DevOps, garantizando que todas las cuentas privilegiadas estén protegidas desde el momento de su creación.

Ventajas clave:

  • Gestión y protección de credencial centralizada Protege y gestiona automáticamente credenciales privilegiadas (contraseñasclaves SSH y claves API) de usuarios, aplicaciones y herramientas DevOps desde el momento en que son creadas
  • Protección, gestión y auditorías de credenciales utilizadas por aplicaciones y recursos DevOps. Almacena, protege y controla de forma centralizada el acceso a credenciales integradas en aplicaciones, herramientas y scripts.
  • Control de acceso pormenorizado con privilegios mínimos. Aplica políticas de privilegios mínimos” controlando los recursos DevOps a los que pueden acceder usuarios privilegiados en conformidad con sus funciones y tareas.
  • Acceso del usuario a recursos DevOps sensibles de forma segura y controlada. Centraliza el acceso a recursos DevOps por medio de un solo punto de control de acceso para maximizar el control y la visibilidad.
  • Seguimiento continuo de toda la actividad del usuario privilegiado y alerta sobre comportamientos sospechosos. Controla y analiza la actividad para detectar rápidamente la actividad no autorizada y sospechosa con el fin de reducir el impacto negativo en el entorno.

Si desea aprender cómo proteger sus cuentas privilegiadas en un entorno DevOps, póngase en contacto con nosotros.