Descripción general de la solución

Automatización de la seguridad para DevOps con F5 Advanced WAF

Automatización de la seguridad para DevOps con F5 Advanced WAF

Las aplicações están en el centro de la estrategia digital de las organizaciones modernas. Según una investigación de F5 Labs, las organizaciones empresariales administran un promedio de 983 aplicações, que a menudo se extienden por múltiples nubes y centros de datos. Las aplicações modernas generalmente se diseñan con arquitecturas distribuidas y se construyen utilizando prácticas de desarrollo ágiles hasta el nivel de componentes. Este marco para la integración continua y la entrega continua (CI/CD) permite a DevOps gestionar el ciclo de vida del software con velocidad y eficiencia. Con el tiempo de comercialización como un KPI (indicador clave de rendimiento) principal, DevOps ha adoptado flujos de trabajo y automatización modernos. Sin embargo, la seguridad a menudo queda fuera del flujo de trabajo de seguridad de CI/CD.

La ausencia de controles de seguridad de las aplicaciones en el flujo de trabajo de DevOps significa que no se prueban junto con el código de la aplicación. Como resultado, los defectos de seguridad de las aplicaciones pueden no descubrirse hasta que se realizan las pruebas operativas al final del ciclo de desarrollo, donde la corrección de los defectos es mucho más costosa. Los impactos pueden incluir retrasos significativos en el tiempo de comercialización, mayores costes de reparación o controles de seguridad inadecuados.

Introducir las pruebas de seguridad en una fase anterior del proceso de IC/CD es la solución más eficaz para abordar la brecha entre los equipos de aplicaciones y de seguridad. El reto es hacerlo con escala y eficiencia, lo que requiere cambios tanto culturales como tecnológicos que hagan hincapié en las pruebas de seguridad operativa como parte de las fases de desarrollo de la aplicación.

El firewall de aplicação web avanzado de F5 permite integrar pruebas de seguridad de aplicação operativas en las primeras etapas del proceso de desarrollo. Esto permite realizar pruebas exhaustivas tanto de las especificaciones funcionales como de las políticas de seguridad en las primeras etapas del proceso. El equipo de DevOps ahora puede descubrir defectos de seguridad, ya sea en la política de seguridad o en la aplicação en sí, mientras la aplicação aún está en desarrollo. Cuando el equipo encuentra errores, puede realizar la reparación de manera más eficiente y a un costo significativamente reducido.

Características principales

  • La implantación y configuración basadas en API declarativas permiten la integración en herramientas y flujos de trabajo de DevOps
  • Permite a las SecOps gestionar y ofrecer seguridad como «código» utilizando archivos JSON fácilmente legibles para DevOps
  • La ingesta de archivos OpenAPI permite la configuración automática de la seguridad de la API
  • La integración con Webhooks (por ejemplo, Slack o Teams) permite una mayor colaboración de DevOps y capacidades de automatización avanzadas
  • Posibilidad de compartir la seguridad básica entre las aplicaciones y los controles personalizados por aplicación a través de la política modular
  • Posibilidad de compartir objetos de política entre políticas mediante la referencia a archivos compartidos

Beneficios clave

  • Ayuda a lanzar las aplicaciones al mercado más rápidamente con un coste menor y una mayor eficacia en materia de seguridad
  • Desplaza las pruebas de seguridad al inicio del proceso de desarrollo de las aplicaciones para que la corrección sea más rentable
  • Cierre la brecha operativa entre SecOps y DevOps

Seguridad como código

Integrar la seguridad de las aplicaciones en el proceso de desarrollo es posible gracias al uso de API declarativas. Estos comandos de la API se pueden utilizar como parte del proceso de desarrollo automatizado para desplegar y configurar Advanced WAF. Es posible instrumentar la automatización a través de las herramientas que los equipos de DevOps ya están utilizando, como GitLab, Jenkins y Bitbucket.

Las políticas de seguridad de WAF también pueden aplicarse a las instancias de WAF existentes utilizando los mismos procesos de automatización. Las políticas de seguridad pueden definirse como un simple archivo de notación de objetos JavaScript (JSON). El archivo puede incluir un puntero al nombre y la ubicación de la política WAF, normalmente en un repositorio como GitHub.

Utilizando este marco de trabajo, el equipo de SecOps puede crear, publicar y mantener políticas de seguridad fácilmente para los equipos de desarrollo. Las políticas pueden variar en función de la aplicación. Por ejemplo, el equipo de SecOps puede tener una política base para las aplicaciones que protegen contra el OWASP Top 10, que define los riesgos de seguridad más críticos para las aplicaciones web. Se pueden publicar otras políticas para aplicaciones que requieren controles adicionales, que podrían incluir aplicaciones que manejan datos sensibles o realizan transacciones financieras. El equipo de desarrollo usa estas políticas, al igual que otras partes de código de la aplicación.


Los cambios en el «código» de seguridad se integran, aplican, prueban y construyen automáticamente mediante el conjunto de herramientas de automatización del proceso de IC/CD. Este enfoque desplaza los controles de seguridad al inicio del proceso de IC/CD, lo que permite que la seguridad sea una responsabilidad compartida en todo el proceso. Al igual que con cualquier otra parte de la aplicación, esto garantiza la aplicación consistente de la seguridad en todas las etapas del ciclo de vida del desarrollo: desarrollo, pruebas, control de calidad y producción.

Los equipos multifuncionales de DevSecOps pueden utilizar capacidades adicionales de integración de ChatOps (por ejemplo, Slack) para aumentar su eficiencia y asegurarse de que siempre están en sintonía. Sin embargo, las ChatOps pueden ser mucho más que mensajería y alertas. Cuando se integra con las herramientas de canalización, las ChatOps pueden proporcionar el progreso de DevOps en tiempo real e incluso iniciar acciones de canalización, como las actualizaciones de la política de Advanced WAF.

CONCLUSIÓN

Más información sobre Advanced WAF: