Libere DevOps de forma segura con la seguridad de aplicação modernas NGINX

A estas alturas, el concepto de “DevSecOps” resulta familiar para casi todos los que trabajan en el desarrollo de software moderno, con su promesa de fortalecer fundamentalmente la seguridad de las aplicação y aliviar la fricción entre los equipos de DevOps y seguridad .

En un modelo DevSecOps, la seguridad se desplaza a la izquierda y se integra directamente al proceso de desarrollo e implementación de DevOps. En particular, la seguridad está integrada en cada fase del proceso de integración continua/implementación continua (CI/CD) para ayudar a identificar fallas de seguridad de manera más temprana. A diferencia de los modelos de seguridad tradicionales, DevSecOps coloca la seguridad en el centro del desarrollo, ayudando a identificar problemas más cerca de su punto de origen, para reducir revisiones costosas (y que consumen mucho tiempo) y evitar que las vulnerabilidades lleguen a producción.

Pero a pesar del impulso hacia DevSecOps, los equipos de seguridad todavía parecen estar rezagados respecto del ritmo de DevOps. Según el informe DevSecOps Insights 2020 de snyk, el 48% de los desarrolladores todavía sienten que la seguridad es una limitación importante en su capacidad para entregar software rápidamente.

¿Por qué la seguridad de las aplicação sigue siendo demasiado lenta?

Si bien la mayoría de las empresas reconocen cuál debe ser su postura de seguridad, la intención y la realidad son dos cosas muy diferentes. Según el informe The State of DevSecOps de 2020 de Contrast Security, más del 99% de las organizaciones se ven obligadas a admitir que su aplicação promedio en producción tiene al menos 4 vulnerabilidades, mientras que casi el 80% informa más de 20 vulnerabilidades en aplicações en desarrollo. Entonces, si bien el 70% de los equipos de seguridad encuestados en la Encuesta Global DevSecOps 2021 de GitLab dicen que han desplazado la seguridad hacia la izquierda y están colaborando con los desarrolladores más estrechamente que nunca, está claro que siguen existiendo brechas de seguridad importantes.

A través de conversaciones con clientes de NGINX, descubrimos tres grandes desafíos que continúan frenando o bloqueando la adopción de prácticas de DevOps por parte de los equipos de seguridad:

1. Un perímetro distribuido y en constante cambio
   A diferencia de hace 20 años, los equipos de seguridad rara vez tienen la tarea de defender un único perímetro fácil de proteger . En lugar de ello, deben proteger las aplicaciones desarrolladas e implementadas por equipos de DevOps que tienen libertad para elegir los entornos, las plataformas y las herramientas que les ayuden a iterar más rápidamente. Las prácticas de DevOps son excelentes para la innovación, pero son malas noticias para los profesionales de seguridad que deben proteger una variedad de servicios, puntos finales y dispositivos que se comunican entre sí a través de API. De hecho, solo la mitad de los encuestados en GitLab afirman tener procesos para monitorear y proteger aplicaciones creadas utilizando estrategias de desarrollo modernas, incluidos microservicios y contenedores.

2. Incapacidad de automatizar e integrar políticas de seguridad en los procesos de CI/CD
   La transformación en los distintos equipos no se está produciendo a la misma velocidad, y la mayoría de las herramientas heredadas disponibles para los equipos de seguridad no fueron diseñadas para un entorno desplazado a la izquierda. Como resultado, los equipos de seguridad se ven obligados a adaptar e integrar en el proceso herramientas que no son adecuadas para la automatización y las infraestructuras modernas. Peor aún, estas herramientas carecen de capacidades de autoservicio, por lo que los desarrolladores e ingenieros de DevOps tienen que esperar hasta que el departamento de seguridad finalice una auditoría manual de políticas y procesos para avanzar.

3. Es difícil obtener visibilidad centralizada y conocimientos de seguridad
   La mayoría de las aplicaciones empresariales no solo están distribuidas, sino que también tienen áreas de propiedad distribuidas, cada una de las cuales utiliza herramientas diferentes. Esto hace que sea increíblemente difícil obtener una visibilidad consolidada de la postura de seguridad dentro de la organización. En lugar de profundizar en la causa raíz de los problemas, los equipos de seguridad a menudo pierden tiempo intentando consolidar y correlacionar datos de diferentes lugares.

Y, por supuesto, la mayoría de las empresas no están superando estos obstáculos solo para un puñado de aplicaciones: están haciendo malabarismos con cientos de productos y servicios distribuidos en múltiples equipos que ejecutan sus propias pilas de tecnología, cadenas de herramientas y procesos, todos los cuales requieren auditorías y controles para garantizar que las vulnerabilidades no dejen la puerta abierta a los ataques.

Equipos empresariales que recurren a las operaciones de plataforma

Entonces, ¿qué puede hacer para ayudar a sus equipos de seguridad de aplicação a ser más ágiles y, al mismo tiempo, capacitar a los desarrolladores para que sigan moviéndose con rapidez pero de forma segura?

La dura verdad es que si no puedes encontrar una manera de enfrentar los desafíos analizados anteriormente, no podrás evolucionar tus prácticas y procesos. Iterar más rápido puede parecer la victoria que todos necesitan, pero la única forma de continuar escalando DevOps hasta su máximo potencial es hacer que la seguridad sea lo más fluida y adaptable posible a lo largo de todo el ciclo de vida del desarrollo de software.

Cada vez vemos más que las organizaciones adoptan un enfoque que, siguiendo el ejemplo de Gartner , llamamos Platform Ops . El concepto central es brindar capacidades de DevOps a través de una plataforma diseñada para adaptarse a los requisitos de los equipos internos de la empresa. El uso de plataformas internas no solo reduce la probabilidad de perder tiempo en tareas redundantes, sino que también ayuda a que varios equipos de productos colaboren de manera continua y eficaz sin ralentizarse.

Bajo un modelo de Platform Ops, los equipos de seguridad brindan políticas consumibles y de autoservicio a los equipos de desarrollo. Además, las herramientas de seguridad están completamente integradas en el proceso de entrega de aplicação . De esta manera, los desarrolladores pueden implementar más rápido y al mismo tiempo seguir las mejores prácticas, la gobernanza y los requisitos de acceso establecidos por expertos en seguridad.

La gran victoria para los equipos de seguridad de aplicação es que Platform Ops crea un entorno donde los desarrolladores ya no experimentan la seguridad como un obstáculo que los ralentiza, sino como una parte integrada de los procesos y herramientas que ya utilizan. Esto motiva a los equipos de entrega de aplicaciones a adoptar patrones que garanticen una mejor seguridad para la empresa en su conjunto.

Cómo ayuda NGINX

En NGINX, reconocemos la importancia de proporcionar herramientas, como un firewall de aplicação web (WAF), que pueda desplazarse fácilmente hacia la izquierda para brindar seguridad en cualquier parte de los procesos de desarrollo e integrarse completamente con las canalizaciones de CI/CD. También es fundamental contar con soluciones livianas que no consuman demasiada CPU ni reduzcan el rendimiento.

También hemos visto que los equipos de desarrollo y DevOps están mucho más contentos cuando la seguridad es una barandilla en lugar de una puerta . Cuando la seguridad proporciona controles y políticas sólidos y consistentes en una plataforma compartida de autoservicio, resulta más fácil para los equipos de desarrollo y seguridad alinearse con las pautas con una interacción e interrupción mínimas.

Así es como la plataforma de aplicação NGINX ofrece exactamente eso:

• NGINX App Protect WAF es un WAF liviano y moderno que puede implementar en cualquier lugar donde esté creando y administrando aplicaciones. App Protect WAF, basado en la tecnología WAF líder en el mercado de F5, protege contra las 10 principales amenazas de OWASP y otras amenazas avanzadas independientemente de la arquitectura o el entorno de implementación, ya sea en la nube, híbrido, basado en microservicios en contenedores o en las instalaciones. Implementado como un módulo dinámico para NGINX Plus , App Protect WAF le permite automatizar la configuración y las políticas de seguridad para que puedan aprovisionarse directamente dentro de su canalización CI/CD.

• NGINX App Protect DoS proporciona protección automatizada y adaptativa para identificar y prevenir ataques de denegación de servicio (DoS) . Con el respaldo de los expertos en seguridad de F5, App Protect DoS utiliza aprendizaje automático adaptativo y detección de anomalías incorporada para proteger sus aplicações y microservicios contra ataques a la capa de aplicação . Ya sea que necesite detener un ataque dirigido o simplemente evitar que una configuración incorrecta involuntaria interrumpa el rendimiento de la aplicación, App Protect DoS ofrece protección cero intervención que se integra perfectamente en las arquitecturas de aplicação modernas, herramientas de desarrollo y marcos.

• El complemento NGINX Controller App Security<.htmla> para el módulo de entrega de aplicação del controlador le permite potenciar la productividad de los desarrolladores sin comprometer las operaciones y el cumplimiento de la seguridad. Controller App Security brinda protección confiable para las aplicaciones y visibilidad centralizada de amenazas en la capa de aplicación que se puede estandarizar en aplicaciones y API basadas en HTTP que se ejecutan en entornos de múltiples nubes. También permite a los equipos de seguridad proporcionar pautas aprobadas previamente que los desarrolladores y los equipos de DevOps consumen de manera autoservicio para agregar fácilmente protección de aplicaciones a sus aplicaciones.

• La seguridad avanzada para el módulo de administración de API del controlador NGINX permite una seguridad de API distribuida para aplicações modernas:

  • NGINX App Protect WAF ahora se puede ubicar junto a puertas de enlace de API, lo que proporciona gestión y seguridad del tráfico de API para entornos distribuidos. Gracias a la arquitectura desacoplada de NGINX, donde el plano de datos (que consta de puertas de enlace de API y ahora NGINX App Protect WAF) no depende en tiempo de ejecución del plano de control, NGINX ofrece el mejor alto rendimiento y seguridad de su clase para sus API alojadas localmente o en la nube híbrida.
  • El complemento de seguridad de la aplicación NGINX Controller para el módulo de administración de API integra perfectamente una seguridad sólida con las puertas de enlace de API NGINX implementadas en cualquier lugar: hardware, máquinas virtuales, contenedores y entornos de nube. De fábrica, el complemento protege contra las 10 principales vulnerabilidades de seguridad de la API de OWASP y otras como la inyección de SQL y la ejecución remota de comandos (RCE). Valida los tipos de archivos permitidos y los códigos de estado de respuesta y verifica si hay JSON, XML y cookies malformados. El complemento también detecta técnicas de evasión utilizadas para enmascarar ataques y garantiza el cumplimiento de las RFC HTTP.

¿Está listo para hacer que la seguridad sea fácil y sin problemas?

Comience pruebas gratuitas de 30 días de NGINX Plus con NGINX App Protect y NGINX Controller , consulte nuestras ofertas en la nube ( AWS , Google Cloud Platform , Microsoft Azure ) e inscríbase en la clase dirigida por un instructor Introducción a NGINX App Protect .