A medida que las organizaciones adoptan rápidamente nuevas tecnologías como sin servidor, contenedores y servicemesh(malla de servicios), la nube y la infraestructura se está volviendo cada vez más “inmutable”: la infraestructura nunca se modifica después de su implementación. Si algo necesita ser modificado de alguna manera, se debe aprovisionar nueva infraestructura a través del código.

Los enfoques tradicionales de seguridad en la nube son insostenibles para proteger la infraestructura nativa de la nube transitoria. La única forma de asegurar infraestructura inmutable es adoptar un paradigma de seguridad inmutable que se basa en tres principios básicos:

1.Proteja la nube nativa y la pila de infraestructura que incluye  servidor,contenedores, plataforma e infraestructura.

2.A lo largo del ciclo de vida de DevOps desde el código (antes de aprovisionar la infraestructura) hasta la nube (después de aprovisionarse la infraestructura)

3.Elimine la deriva de la postura de riesgo con el tiempo conciliando los cambios en la nube (aprovisionada infraestructura) que introducen riesgos con la línea de base definida a través del código.

 

Accurics se integra en su ciclo de vida de DevOps “Cuando se trata de proteger datos, ya sea de una información perspectiva de seguridad o para cumplir con requisitos reglamentarios como 27001,PCI, GDPR o HIPAA.

Nota:Un recurso en la nube es cualquier elemento de configuración que se supervisa para detectar infracciones de políticas y riesgos de seguridad. Los ejemplos incluyen instancias informáticas, subredes, máquinas virtuales, contenedores y pods de Kubernetes.

Accurics escanea código como Terraform, Kubernetes YAML, Dockerfile y OpenFaaS YAML para detectar y corregir configuraciones erróneas, violaciones de políticas y posibles rutas de incumplimiento antes de que se aprovisione su infraestructura de nube. Posteriormente, monitorea la infraestructura implementada en AWS, Azure y Google Cloud Platform para
detectar cambios que introducen riesgos y crean un cambio de postura en la nube desde una línea de base definida a través del código. Puede remediar las desviaciones mejorando el código de su infraestructura para reflejar los cambios legítimos o volviendo a implementar su nube desde el código para mitigar los riesgos.

Características:

  • Seguridad de IaC para Terraform
  •  Seguridad en la nube para AWS, Azure y GCP
  •  Política básica como código
  •  Integraciones de repositorios de código
  •  Integraciones CI / CD
  •  Integraciones de alertas
  •  Soporte vía Foro

el 90% de las organizaciones permiten que los usuarios privilegiados “rompan el vidrio” y realicen cambios de configuración directamente en la infraestructura de la nube durante el tiempo de ejecución. En algunas situaciones, los cambios pueden ser legítimos y necesarios. Mientras que en otras situaciones. los cambios pueden introducir riesgos de forma inadvertida o intencionada si un atacante obtiene acceso al entorno de la nube. Cualquiera sea el motivo, el cambio de configuración a la infraestructura de la nube en tiempo de ejecución rompe la inmutabilidad; la postura de la nube se desvía de la línea de base segura definida a través del código.

Terrascan se puede instalar como un enlace previo a la confirmación para ayudar a detectar problemas antes de que el código se inserte en su repositorio. También se puede integrar en su canalización de CI / CD. Puede obtener más información sobre Terrascan o contribuir en github.com/accurics/terrascan .

Para obtener más información sobre Terrascan, consulte la documentación https://docs.accurics.com, donde incluimos una guía de introducción, la arquitectura de Terrascan, un desglose de sus comandos y un análisis profundo de las políticas.

Conclusión

La remediación como código no se trata solo de solucionar problemas, es un paradigma que permite a las organizaciones construir una infraestructura en la nube con recuperación automática donde las configuraciones incorrectas se descubren automáticamente y se resuelven de manera oportuna. La corrección como código es muy determinista y tiene casi cero falsos positivos, por lo que es la única forma práctica para que los desarrolladores aborden las configuraciones incorrectas sin obstaculizar la agilidad. Además, niega la necesidad de que los usuarios privilegiados realicen cambios en las configuraciones de la infraestructura de la nube en tiempo de ejecución y preserva la inmutabilidad. Este enfoque único codifica la corrección como parte del ciclo de vida del desarrollo y, como resultado, funciona a la perfección en IaC y en entornos de nube.

¡Haz clic para puntuar esta entrada!
(Votos: 1 Promedio: 5)

compartir en ....
Avatar

Acerca de Brian Alexander Diaz

Brian Alexander Diaz Investigador en temas de seguridad y Devops Mi nombre es Brian Alexander Diaz. El objetivo de este blog es promover la cultura y mentalidad en seguridad por todo el Internet y que la gente aprenda a facilitar su vida y crear  sistemas mas seguros .

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *