La plataforma global e independiente para la comunidad SAP.

DevOps: se subestiman los riesgos

Las empresas utilizan cada vez más DevOps para el despliegue eficiente de aplicaciones. DevOps promete plazos de comercialización más cortos, una mejor calidad del producto y una mayor satisfacción del cliente, pero también conlleva nuevos riesgos de seguridad.
Michael Kleist, CyberArk
29 noviembre 2018
Columna DevOps
avatar
Este texto ha sido traducido automáticamente del alemán al español.

La transformación digital requiere un alto nivel de agilidad y está impulsando el uso de entornos DevOps porque DevOps ofrece innovación acelerada, mayor flexibilidad y menor complejidad en el desarrollo y despliegue de aplicaciones. Por lo tanto, las empresas desean principalmente obtener beneficios empresariales con las implantaciones de DevOps. Sin embargo, con demasiada frecuencia descuidan la seguridad en el proceso, un grave error, ya que DevOps en particular amplía significativamente la superficie de ataque de los ciberataques.

Cuando las empresas utilizan modelos DevOps, se generan y comparten automáticamente más cuentas privilegiadas y datos de acceso a través de ecosistemas empresariales en red. Estos datos de acceso -que a menudo no se han tenido suficientemente en cuenta ni se han protegido hasta la fecha- incluyen cuentas de servicio, cifrado, claves API y SSH, secretos de contenedor o contraseñas incrustadas en el código de los programas, que a menudo también se almacenan en repositorios centrales.

Las credenciales privilegiadas de uso adicional asociadas a personas, servicios o aplicaciones representan inevitablemente un objetivo lucrativo para un atacante externo o un insider malintencionado. Al fin y al cabo, permiten un control total de toda la infraestructura informática de una empresa.

El riesgo de seguridad para las empresas aumenta aún más por el uso de numerosas herramientas de orquestación y automatización, como las herramientas de CI (integración continua) y CD (entrega continua) o repositorios de código fuente como GitHub en proyectos DevOps. El reto aquí es que las herramientas utilizadas en la cadena de herramientas DevOps, como Ansible, Chef, Puppet o Jenkins, no ofrecen ningún estándar común y, por lo tanto, las empresas tienen que tomar medidas de seguridad individuales y específicas para cada herramienta.

Sobre todo, los flujos de trabajo para el control de acceso a credenciales privilegiadas difieren significativamente. Como resultado, muchas empresas siguen estrategias de control de acceso inexistentes, incoherentes o manuales, por lo que las brechas de seguridad están preprogramadas y los atacantes las buscan de forma tan automática como se genera el código en el proceso DevOps.

¿Cómo combatir esta evolución?

Las contramedidas exitosas solo pueden tomarse con una pila de seguridad DevOps dedicada, y aquí es donde entra en juego la seguridad de TI. Debe adoptar un enfoque sistemático para ayudar a los equipos de DevOps a alcanzar un alto nivel de seguridad. Las herramientas y prácticas de DevOps y de seguridad deben integrarse entre sí para establecer una protección eficaz de los datos privilegiados. Por lo tanto, la estrecha colaboración entre los equipos de DevOps y de seguridad es el primer paso para construir con éxito una plataforma de seguridad escalable y aplicar una estrategia DevSecOps que pueda seguir el ritmo del entorno dinámico y la rápida evolución de la tecnología.

La administración de todas las herramientas DevOps y los datos de acceso debe tener lugar bajo el paraguas de una plataforma de seguridad de este tipo. La administración central y automática y la protección de todos los datos de acceso confidenciales utilizados en un canal de DevOps, como claves de cifrado y API, contraseñas de bases de datos o certificados de seguridad de la capa de transporte (TLS), son de vital importancia.

Ni que decir tiene que los secretos personalizados también se gestionan aquí de forma automática y dinámica para asegurar el acceso en la producción DevOps. Todos los datos de acceso utilizados por máquinas, sistemas y personas deben protegerse en un sistema de almacenamiento seguro y de alta disponibilidad (bóveda), un servidor especialmente "endurecido" que ofrezca una protección fiable contra el acceso no autorizado con varias capas de seguridad diferentes.

avatar
Michael Kleist, CyberArk

Michael Kleist es Director Regional DACH de CyberArk en Düsseldorf.


Escriba un comentario

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Application Lifecycle Management y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

FourSide Hotel Salzburgo,
Colección Trademark de Wyndham
Am Messezentrum 2, 5020 Salzburgo, Austria
+43-66-24355460

Fecha del acontecimiento

Miércoles, 10 de junio, y
Jueves, 11 de junio de 2026

Entrada anticipada

Entrada normal

390 EUR sin IVA.
disponible hasta el 1 de octubre de 2025
590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles 22 de abril y
Jueves, 23 de abril de 2026

Entradas

Entrada normal
590 EUR sin IVA
Suscriptores de la revista E3
reducido con promocode STAbo26
390 EUR sin IVA
Estudiantes
reducido con el promocode STStud26.
Envíe el justificante de estudios por correo electrónico a office@b4bmedia.net.
290 EUR sin IVA
*Las 10 primeras entradas son gratuitas para los estudiantes. ¡Prueba tu suerte! 🍀
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2026, la visita a la zona de exposición, la participación en el evento nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.