La plataforma global e independiente para la comunidad SAP.
MAG 21-11, Columna sobre código abierto

¿DevOps con código abierto? Por supuesto.

El uso del código abierto apoya a los equipos DevOps en el desarrollo ágil de software. Pero en el afán por producir código cada vez más rápido, la protección de las credenciales confidenciales y privilegiadas a menudo se queda en el camino.
Michael Kleist, CyberArk
9. diciembre 2021
Contenido:
Código abierto
avatar
Este texto ha sido traducido automáticamente del alemán al español.

Hoy en día, los equipos de DevOps están sometidos a una gran presión para entregar rápidamente nuevas aplicaciones y servicios que impulsen la transformación digital en la empresa. Cuentan con la ayuda de herramientas de código abierto que funcionan bien juntas gracias a interfaces y estándares abiertos y permiten una amplia automatización de los procesos de integración y entrega continuas (CI/CD).

Las herramientas son fáciles de evaluar y poner en marcha sin apoyo y -desgraciadamente- a menudo sin coordinación con los equipos de TI y seguridad. Pero el intento de producir nuevas aplicaciones cada vez más rápido y dotarlas de actualizaciones a intervalos cada vez más cortos conduce a menudo a prácticas poco seguras - especialmente cuando se trata de credenciales confidenciales y privilegiadas como contraseñas, claves API y SSH y certificados.

Los desarrolladores suelen incrustar los datos de inicio de sesión -por ejemplo, para acceder a bases de datos o servicios en la nube importantes- directamente en el código del programa o almacenarlos en archivos de configuración. En cualquier caso, esto es arriesgado, porque el código y las configuraciones suelen almacenarse en repositorios centrales a los que tienen acceso muchos usuarios diferentes. En el caso del código abierto, que se nutre de la idea de comunidad y de compartir el código fuente, también existe el peligro de que los datos de acceso salgan de la empresa involuntariamente y faciliten los ataques. Compartir el código es sin duda deseable e importante para el desarrollo del software de código abierto, pero los datos de acceso no tienen cabida en el código.

Además, los equipos de DevOps suelen utilizar herramientas de código abierto sin haberlas sometido antes a pruebas suficientes para detectar vulnerabilidades y gestionar las credenciales de forma segura. O utilizan código de terceros que no ha sido suficientemente probado o que está obsoleto. Los responsables de seguridad se enfrentan así al reto de minimizar los riesgos cuando utilizan código abierto sin ralentizar el trabajo de los equipos DevOps.

Por regla general, no pueden recurrir a soluciones clásicas para la gestión de la seguridad, ya que están diseñadas para aplicaciones de software y métodos de desarrollo tradicionales y, por tanto, son demasiado lentas, inflexibles y complejas para el mundo del desarrollo ágil. Mientras tanto, sin embargo, existen soluciones modernas para la gestión de secretos, es decir, el control y la administración de accesos privilegiados a sistemas críticos y entre partes de aplicaciones, y éstas también se basan en el código abierto. Estas soluciones protegen las credenciales tanto de las identidades técnicas como de los usuarios humanos en entornos DevOps e integran la seguridad a la perfección en los procesos CI/CD existentes.

La gestión moderna de secretos elimina las credenciales codificadas de las aplicaciones y los scripts y archivos de configuración de las herramientas de automatización y configuración a lo largo de todo el proceso de CI/CD y las gestiona de forma centralizada. Proporciona controles de acceso basados en políticas y funciones, rotación de credenciales y documentación completa para auditorías.

También comprueba las solicitudes de credenciales de los contenedores y los libera de acuerdo con las directrices, algo en lo que suelen fallar las soluciones de seguridad tradicionales debido a la corta vida útil de los contenedores. La gestión de secretos también asigna las identidades adecuadas a los nuevos hosts en entornos en la nube, de modo que los DevOps-
Los equipos pueden utilizar funciones de escalado automático y no tienen que asignar manualmente permisos a los nuevos anfitriones.

En resumen, un sistema moderno de gestión de secretos autentica, controla y audita todos los accesos de forma centralizada a través de pilas de herramientas, plataformas de contenedores y entornos en la nube y, por lo tanto, también disuelve los silos de seguridad. De este modo, los equipos de seguridad protegen de forma fiable todas las credenciales, mientras que los equipos de DevOps pueden concentrarse en su tarea real: el desarrollo, el mantenimiento y el funcionamiento de las aplicaciones.

avatar
Michael Kleist, CyberArk

Michael Kleist es Director Regional DACH de CyberArk en Düsseldorf.


Todos los artículos del autor

Escriba un comentario

El Grupo Hackett ha premiado a Esker en el área de C2C Receivables

Rackspace Technology lanza UK Sovereign Services

Instituto August-Wilhelm Scheer y BAD Gesundheitsvorsorge und Sicherheitstechnik: el futuro de la asistencia sanitaria

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Gestión del ciclo de vida de las aplicaciones y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana. Toda la información sobre el evento puede encontrarse aquí:

Cumbre de Centro de Competencia SAP 2024

Lugar de celebración

Sala de actos, FourSide Hotel Salzburg,
En el recinto ferial 2,
A-5020 Salzburgo

Fecha del acontecimiento

5 y 6 de junio de 2024

Entrada normal:

€ 590 sin IVA

Lugar de celebración

Sala de actos, Hotel Hilton Heidelberg,
Kurfürstenanlage 1,
69115 Heidelberg

Fecha del acontecimiento

28 y 29 de febrero de 2024

Entradas

Billete normal
590 EUR sin IVA
El organizador es la revista E3 de la editorial B4Bmedia.net AG. Las conferencias irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las conferencias de la Cumbre Steampunk y BTP 2024, la visita a la zona de exposición, la participación en el evento nocturno y el catering durante el programa oficial. El programa de conferencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.