Desde el diseño hasta la producción: automatización de la seguridad de las aplicaciones nativas de la nube

by Scott Schlueter, Head of Security Solutions and Partnering, Rackspace Technology

A cloud native security architect working through code on his laptop

 

Imagine un director de seguridad sénior revisando todas las noches los cambios que realizan sus ingenieros en la infraestructura para identificar y corregir fallas en el diseño de la seguridad: en los entornos de desarrollo, prueba y producción. Y todo esto por poco dinero.

Al ofrecer la infraestructura como código segura y las operaciones en la nube de Oak9, Rackspace Technology® proporciona precisamente eso, además de la velocidad de arranque, al tiempo que aborda el compliance con confianza.

Entregar rápido aplicaciones nativas de la nube de alto valor es un requisito para muchas empresas. A medida que las amenazas cibernéticas evolucionan y la adopción de la nube se acelera, las organizaciones deben aplicar la metodología Shift Left y administrar el riesgo de la nube con herramientas de seguridad nativas de la nube diseñadas para proteger los datos y los recursos de la nube. La infraestructura como código (IaC) segura es esencial porque alinea tres áreas que normalmente no se cruzan: DevOps, seguridad y compliance.

Los servicios de seguridad para la infraestructura como código de Rackspace Technology de Oak9 ofrecen la capacidad de conectar los mundos (y los lenguajes) de DevOps, CloudOps y CISO en una herramienta unificada. Al aprovechar Oak9, los clientes incorporan la seguridad en la fase de concepto de DevOps y extienden la comprobación del compliance y la alineación de las prácticas recomendadas a las fases de producción de las cargas de trabajo.

Oak9 les permite a los usuarios integrar la seguridad en los procesos de DevOps y en las plataformas de orquestación existentes antes de su lanzamiento en el ambiente en la nube. La plataforma de seguridad como código de Oak9 encuentra, analiza y soluciona de forma automática las deficiencias de seguridad y compliance en tiempo real, a medida que se detectan cambios en la IaC y en las cargas de trabajo nativas de la nube implementadas.

 

Superar los desafíos

En nuestra encuesta global sobre la multi-cloud de abril de 2022, encuestamos a 1,420 encargados de tomar decisiones de tecnología, entre ellos, más de 400 directores de información y tecnología. Nos dijeron que la seguridad sigue siendo el principal desafío de TI para las empresas.

Los desafíos de seguridad requieren que las organizaciones de TI adapten sus estrategias de seguridad. Ya no basta con ser reactivo; las empresas deben aplicar la metodología Shift Left para reducir los errores de configuración y minimizar las vulnerabilidades. Sin la automatización de la infraestructura como código, las organizaciones de seguridad no ven las amenazas de seguridad que representan un alto riesgo de incidentes o violaciones.

A los líderes empresariales también les resulta difícil contratar y retener talento en tecnología. Un asombroso 77 % de los responsables de tomar decisiones de TI de nuestra encuesta afirmó que la escasez de talento impide la adopción de nuevos métodos de desarrollo en la nube.

Los programadores utilizan cada vez más IaC para implementar rápido arquitecturas y aplicaciones nativas de la nube a gran escala. Sin embargo, a menudo no cuentan con la experiencia necesaria para garantizar que su código sea seguro o que esté conforme a la normativa. Asimismo, los equipos de seguridad no tienen tiempo de revisar miles de líneas de código.

La plataforma de seguridad como código de Oak9 encuentra, analiza y soluciona de forma automática las vulnerabilidades de seguridad y compliance en tiempo real, al detectar cambios en la IaC y las cargas de trabajo nativas de la nube implementadas. Esta solución de seguridad cumple con los objetivos de sprint a tiempo, elimina las restauraciones en la pila y toda persona tiene acceso a ella, no solo los profesionales de seguridad.

 

Metodología Shift Left en la etapa de pruebas

Los equipos de DevOps se mueven rápido. El equipo a cargo de las operaciones en la nube necesita saber dónde responder. Depende de la función de seguridad/CISO para hacer que las operaciones cumplan con la normativa y no sufran interrupciones. Integrar estos tres equipos en el desarrollo de aplicaciones nativas de la nube permite identificar y corregir defectos mucho antes en el ciclo de vida del desarrollo de software.

Esta nueva oferta de servicios de seguridad para la infraestructura como código de Oak9 les permite a las empresas aplicar la metodología Shift Left a la seguridad, incluida la gestión de la seguridad de la infraestructura, en el proceso de desarrollo. Esto agiliza el ciclo de desarrollo, mejora de forma radical la calidad y permite una evolución más rápida a etapas posteriores para el análisis y la implementación de seguridad.

 

Solving Together™

Con los servicios de seguridad para la infraestructura como código, Rackspace Technology y Oak9 proporcionan las siguientes ventajas:

  • Diseño seguro desde el principio: acceda a un catálogo prediseñado de planos de seguridad como código, en función de las infraestructuras aplicables, como SOC2, HIPAA, PCI, ISO, NIST, entre otras, que evalúa de manera dinámica cada cambio en la infraestructura de la nube.
  • Integración sin problemas en su flujo de CI/CD: integre de forma nativa los IDE, los repositorios de código, la CI/CD y las herramientas de operaciones de chat para brindarles a los programadores feedback de seguridad inmediato a través del código.
  • Detección de cambios de manear continua: el acceso de solo lectura a los ambientes en la nube de AWS y Azure de los clientes dirige el cambio desde el diseño previsto de las aplicaciones y garantiza que la arquitectura de ellas permanezca segura por diseño.
  • Atención sostenida con notificaciones/alertas: los programadores reciben solicitudes de extracción con cambios sugeridos a medida que confirman la infraestructura como código, lo que les permite decidir si aprobar el flujo o no.

Obtenga más información sobre los servicios de seguridad para la infraestructura como código en nuestro podcast Cloud Talk Live aquí: Cómo incorporar la seguridad a su infraestructura como código.

Descargue la hoja de datos de Servicios de seguridad para la infraestructura como código de Rackspace para descubrir cómo puede comenzar a automatizar la seguridad de su aplicación nativa en la nube.

¿Está listo para proteger su infraestructura nativa de la nube?