El auge de la cultura DevOps en las empresas ha acelerado los plazos de entrega de productos. Sin duda, la automatizaci\u00f3n tiene sus ventajas. Sin embargo, la creaci\u00f3n de contenedores y el auge del desarrollo de software en la nube est\u00e1n exponiendo a las organizaciones a una nueva superficie de ataque en expansi\u00f3n.<\/p>\n
Las identidades de las m\u00e1quinas superan ampliamente a las humanas en las empresas en estos d\u00edas. De hecho, el auge de las identidades de las m\u00e1quinas est\u00e1 creando una deuda de seguridad cibern\u00e9tica y aumentando los riesgos de seguridad. <\/p>\n
Echemos un vistazo a tres de los principales riesgos de seguridad que crean las identidades de las m\u00e1quinas, y c\u00f3mo puede combatirlos.<\/p>\n
Problemas de renovaci\u00f3n de certificados<\/h2>\n
Las identidades de las m\u00e1quinas se protegen de manera diferente a las humanas. Mientras que las identificaciones humanas se pueden verificar con credenciales de inicio de sesi\u00f3n y contrase\u00f1a, las identificaciones de m\u00e1quina usan certificados y claves. Un gran problema con este tipo de credenciales es que tienen fechas de vencimiento. <\/p>\n
En general, los certificados tienen una validez de dos a\u00f1os, pero el r\u00e1pido ritmo de mejora tecnol\u00f3gica ha reducido la vida \u00fatil de algunos a 13 meses. Dado que a menudo hay miles de identidades de m\u00e1quinas presentes en un ciclo de DevOps determinado, todas con diferentes fechas de vencimiento de certificados, la renovaci\u00f3n manual y los procesos de auditor\u00eda son casi imposibles.<\/p>\n
Es probable que los equipos que dependen de procesos manuales para verificar los certificados se enfrenten a interrupciones no planificadas, algo que las canalizaciones de DevOps no pueden permitirse. Las empresas con servicios orientados al p\u00fablico probablemente sufrir\u00e1n un impacto negativo en la marca debido a tales interrupciones. Un buen ejemplo de una interrupci\u00f3n relacionada con el certificado ocurri\u00f3 en febrero de 2021, cuando los certificados TLS caducados colapsaron Google Voice, dej\u00e1ndolo inutilizable durante 24 horas<\/a>.<\/p>\n La gesti\u00f3n automatizada de certificados es la mejor soluci\u00f3n para este problema. sin llave<\/a> La soluci\u00f3n puede auditar y renovar autom\u00e1ticamente los certificados que caducan. Adem\u00e1s de encajar en el tema m\u00e1s amplio de automatizaci\u00f3n de DevOps, herramientas como Akeyless tambi\u00e9n simplifican la gesti\u00f3n de secretos. Por ejemplo, la herramienta permite a las empresas emplear el acceso justo a tiempo mediante la creaci\u00f3n de certificados de un solo uso y de corta duraci\u00f3n cuando una m\u00e1quina accede a informaci\u00f3n confidencial. Estos certificados eliminan la necesidad de claves y certificados est\u00e1ticos, lo que reduce la superficie de ataque potencial dentro de una empresa.<\/p>\n La verificaci\u00f3n de la ID de la m\u00e1quina tambi\u00e9n depende de las claves privadas. A medida que aumenta el uso de herramientas en las empresas, la TI en la sombra se ha convertido en una preocupaci\u00f3n importante. Incluso cuando los empleados experimentan con versiones de prueba del software SaaS y luego dejan de usar estos productos, el certificado de seguridad del software a menudo permanece en la red, lo que genera una vulnerabilidad que un atacante puede explotar.<\/p>\n Las herramientas de gesti\u00f3n de secretos se integran con todos los aspectos de su red y supervisan certificados y claves ocultos. Como resultado, eliminar el exceso de claves y asegurar las v\u00e1lidas se vuelve simple.<\/p>\n Uno de los problemas que enfrentan los equipos de seguridad por una identidad de m\u00e1quina comprometida o caducada es la cascada de problemas que provoca. Por ejemplo, si una sola ID de m\u00e1quina se ve comprometida, los equipos de seguridad deben reemplazar su clave y certificado r\u00e1pidamente. Si no lo hace, la gama de herramientas de CI\/CD automatizadas, como Jenkins<\/a> arrojar\u00e1 errores que comprometen los horarios de lanzamiento.<\/p>\n Herramientas como Jenkins conectan cada parte de la canalizaci\u00f3n de DevOps y tambi\u00e9n crear\u00e1n problemas posteriores. Luego est\u00e1 el tema de la integraci\u00f3n de herramientas de terceros. \u00bfQu\u00e9 sucede si un contenedor en la nube decide revocar todas sus ID de m\u00e1quina porque detecta un compromiso en una sola ID?<\/p>\n Todos estos problemas afectar\u00e1n a su equipo de seguridad a la vez, causando una avalancha de problemas que pueden hacer que atribuirlo todo a una causa ra\u00edz sea extremadamente desafiante. La buena noticia es que la automatizaci\u00f3n y la gesti\u00f3n de llaves electr\u00f3nicas simplifican este proceso. Con estas herramientas, su equipo de seguridad tendr\u00e1 una visibilidad completa de las ubicaciones de certificados y claves digitales, junto con los pasos necesarios para renovar o emitir nuevos.<\/p>\n Sorprendentemente, la mayor\u00eda de las organizaciones carecen de visibilidad de las ubicaciones clave debido al enfoque en contenedores de DevOps. La mayor\u00eda de los equipos de productos trabajan en silos y se re\u00fanen antes de la producci\u00f3n para integrar sus diversas piezas de c\u00f3digo. El resultado es una falta de transparencia de seguridad en las diferentes partes m\u00f3viles.<\/p>\n La seguridad no puede permanecer est\u00e1tica o centralizada en un mundo dominado por ID de m\u00e1quina. Debe crear posturas de seguridad \u00e1giles para que coincidan con un entorno de desarrollo \u00e1gil. Esta postura lo ayudar\u00e1 a reaccionar r\u00e1pidamente a los problemas en cascada e identificar las causas fundamentales.<\/p>\n El auge de las identificaciones de m\u00e1quinas no ha pasado desapercibido. Cada vez m\u00e1s, los gobiernos exigen requisitos de claves criptogr\u00e1ficas para monitorear las identidades digitales, especialmente cuando se trata de regular sectores comerciales sensibles. Agregue a esto la red de leyes de privacidad de datos que las empresas deben cumplir, y tendr\u00e1 combustible de pesadilla para cualquier programa manual de administraci\u00f3n de ID de m\u00e1quinas.<\/p>\n Las auditor\u00edas de seguridad fallidas tienen consecuencias nefastas en estos d\u00edas. Aparte de la p\u00e9rdida de la confianza del p\u00fablico, las organizaciones pintan un blanco en sus espaldas para los piratas inform\u00e1ticos maliciosos, lo que a menudo aumenta las posibilidades de infracciones de seguridad. La empresa promedio puede tener cientos de miles de identidades de m\u00e1quinas bajo su alcance, cada una con diferentes configuraciones y fechas de vencimiento.<\/p>\n Un equipo de humanos no puede esperar seguir el ritmo de estas identidades. Sin embargo, muchas organizaciones encargan a sus equipos de seguridad de esta manera, exponi\u00e9ndolos a grandes riesgos de seguridad. Incluso si un proceso manual maneja la renovaci\u00f3n de claves, el error humano puede crear problemas. Adem\u00e1s, esperar que algunos administradores entiendan los requisitos de confianza de cada certificado no es realista.<\/p>\n Una soluci\u00f3n automatizada como Hashicorp resuelve estos problemas a la perfecci\u00f3n, ya que ofrece f\u00e1cil datos de auditor\u00eda y cumplimiento<\/a> que sus equipos de seguridad pueden usar.<\/p>\n DevOps prioriza la automatizaci\u00f3n en toda la canalizaci\u00f3n. Para incluir seguridad, debe automatizar e integrar esas aplicaciones en toda su organizaci\u00f3n para crear una postura de seguridad \u00e1gil. Si no lo hace, el creciente n\u00famero de identidades de m\u00e1quinas dejar\u00e1 a su equipo de seguridad sobrecargado e incapaz de responder a las amenazas.<\/p>\n <\/p>\n<\/div>\nRespuesta a incidentes retrasada<\/h2>\n
Falta de conocimiento de auditor\u00eda<\/h2>\n
La automatizaci\u00f3n es la clave<\/h2>\n