La plataforma global e independiente para la comunidad SAP.

¿DevOps con código abierto? Por supuesto.

El uso del código abierto apoya a los equipos DevOps en el desarrollo ágil de software. Pero en el afán por producir código cada vez más rápido, la protección de las credenciales confidenciales y privilegiadas a menudo se queda en el camino.
Michael Kleist, CyberArk
9. diciembre 2021
Código abierto
avatar
Este texto ha sido traducido automáticamente del alemán al español.

Hoy en día, los equipos de DevOps están sometidos a una gran presión para entregar rápidamente nuevas aplicaciones y servicios que impulsen la transformación digital en la empresa. Cuentan con la ayuda de herramientas de código abierto que funcionan bien juntas gracias a interfaces y estándares abiertos y permiten una amplia automatización de los procesos de integración y entrega continuas (CI/CD).

Las herramientas son fáciles de evaluar y poner en marcha sin apoyo y -desgraciadamente- a menudo sin coordinación con los equipos de TI y seguridad. Pero el intento de producir nuevas aplicaciones cada vez más rápido y dotarlas de actualizaciones a intervalos cada vez más cortos conduce a menudo a prácticas poco seguras - especialmente cuando se trata de credenciales confidenciales y privilegiadas como contraseñas, claves API y SSH y certificados.

Los desarrolladores suelen incrustar los datos de inicio de sesión -por ejemplo, para acceder a bases de datos o servicios en la nube importantes- directamente en el código del programa o almacenarlos en archivos de configuración. En cualquier caso, esto es arriesgado, porque el código y las configuraciones suelen almacenarse en repositorios centrales a los que tienen acceso muchos usuarios diferentes. En el caso del código abierto, que se nutre de la idea de comunidad y de compartir el código fuente, también existe el peligro de que los datos de acceso salgan de la empresa involuntariamente y faciliten los ataques. Compartir el código es sin duda deseable e importante para el desarrollo del software de código abierto, pero los datos de acceso no tienen cabida en el código.

Además, los equipos de DevOps suelen utilizar herramientas de código abierto sin haberlas sometido antes a pruebas suficientes para detectar vulnerabilidades y gestionar las credenciales de forma segura. O utilizan código de terceros que no ha sido suficientemente probado o que está obsoleto. Los responsables de seguridad se enfrentan así al reto de minimizar los riesgos cuando utilizan código abierto sin ralentizar el trabajo de los equipos DevOps.

Por regla general, no pueden recurrir a soluciones clásicas para la gestión de la seguridad, ya que están diseñadas para aplicaciones de software y métodos de desarrollo tradicionales y, por tanto, son demasiado lentas, inflexibles y complejas para el mundo del desarrollo ágil. Mientras tanto, sin embargo, existen soluciones modernas para la gestión de secretos, es decir, el control y la administración de accesos privilegiados a sistemas críticos y entre partes de aplicaciones, y éstas también se basan en el código abierto. Estas soluciones protegen las credenciales tanto de las identidades técnicas como de los usuarios humanos en entornos DevOps e integran la seguridad a la perfección en los procesos CI/CD existentes.

La gestión moderna de secretos elimina las credenciales codificadas de las aplicaciones y los scripts y archivos de configuración de las herramientas de automatización y configuración a lo largo de todo el proceso de CI/CD y las gestiona de forma centralizada. Proporciona controles de acceso basados en políticas y funciones, rotación de credenciales y documentación completa para auditorías.

También comprueba las solicitudes de credenciales de los contenedores y los libera de acuerdo con las directrices, algo en lo que suelen fallar las soluciones de seguridad tradicionales debido a la corta vida útil de los contenedores. La gestión de secretos también asigna las identidades adecuadas a los nuevos hosts en entornos en la nube, de modo que los DevOps-
Los equipos pueden utilizar funciones de escalado automático y no tienen que asignar manualmente permisos a los nuevos anfitriones.

En resumen, un sistema moderno de gestión de secretos autentica, controla y audita todos los accesos de forma centralizada a través de pilas de herramientas, plataformas de contenedores y entornos en la nube y, por lo tanto, también disuelve los silos de seguridad. De este modo, los equipos de seguridad protegen de forma fiable todas las credenciales, mientras que los equipos de DevOps pueden concentrarse en su tarea real: el desarrollo, el mantenimiento y el funcionamiento de las aplicaciones.

avatar
Michael Kleist, CyberArk

Michael Kleist es Director Regional DACH de CyberArk en Düsseldorf.


Escriba un comentario

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Application Lifecycle Management y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 24 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.