• Share via AddThis

DESCRIPCIÓN GENERAL DE LA SOLUCIÓN

Automatización de la seguridad para DevOps con F5 Advanced WAF

Automatización de la seguridad para DevOps con F5 Advanced WAF

Las aplicaciones están en el centro de la estrategia digital de las organizaciones modernas. Según una investigación de F5 Labs, las organizaciones empresariales gestionan una media de 983 aplicaciones, que a menudo se extienden por múltiples nubes y centros de datos. Las aplicaciones modernas se diseñan generalmente con arquitecturas distribuidas y se construyen utilizando prácticas de desarrollo ágiles

hasta el nivel de los componentes. Este marco para la integración y la entrega continuas (IC/CD) permite a las DevOps gestionar el ciclo de vida del software con rapidez y eficacia. Con el tiempo de comercialización como principal indicador clave de rendimiento, DevOps ha adoptado flujos de trabajo modernos y la automatización. Sin embargo, la seguridad suele quedar fuera del flujo de trabajo de la seguridad de IC/CD.

Introducing security testing earlier in the CI/CD process is the most efficient solution for addressing the gap between the application and security teams. The challenge is to do it with scale and efficiency, which requires both cultural and technology shifts that emphasize operational security testing as part of the application development phases.

La ausencia de controles de seguridad de las aplicaciones en el flujo de trabajo de DevOps significa que no se prueban junto con el código de la aplicación. Como resultado, los defectos de seguridad de las aplicaciones pueden no descubrirse hasta que se realizan las pruebas operativas al final del ciclo de desarrollo, donde la corrección de los defectos es mucho más costosa. Los impactos pueden incluir retrasos significativos en el tiempo de comercialización, mayores costes de reparación o controles de seguridad inadecuados.

Características principales

  • La implantación y configuración basadas en API declarativas permiten la integración en herramientas y flujos de trabajo de DevOps
  • Permite a las SecOps gestionar y ofrecer seguridad como «código» utilizando archivos JSON fácilmente legibles para DevOps
  • La ingesta de archivos OpenAPI permite la configuración automática de la seguridad de la API
  • La integración con Webhooks (por ejemplo, Slack o Teams) permite una mayor colaboración de DevOps y capacidades de automatización avanzadas
  • Posibilidad de compartir la seguridad básica entre las aplicaciones y los controles personalizados por aplicación a través de la política modular
  • Posibilidad de compartir objetos de política entre políticas mediante la referencia a archivos compartidos

Key Benefits

  • Helps bring apps to market faster with lower cost and higher security efficiency
     
  • Shifts security testing “left” in the application development pipeline for more cost-effective remediation
  • Bridges the operational gap between SecOps and DevOps

Seguridad como código

Integrar la seguridad de las aplicaciones en el proceso de desarrollo es posible gracias al uso de API declarativas. Estos comandos de la API se pueden utilizar como parte del proceso de desarrollo automatizado para desplegar y configurar Advanced WAF. Es posible instrumentar la automatización a través de las herramientas que los equipos de DevOps ya están utilizando, como GitLab, Jenkins y Bitbucket.

Las políticas de seguridad de WAF también pueden aplicarse a las instancias de WAF existentes utilizando los mismos procesos de automatización. Las políticas de seguridad pueden definirse como un simple archivo de notación de objetos JavaScript (JSON). El archivo puede incluir un puntero al nombre y la ubicación de la política WAF, normalmente en un repositorio como GitHub.

Utilizando este marco de trabajo, el equipo de SecOps puede crear, publicar y mantener políticas de seguridad fácilmente para los equipos de desarrollo. Las políticas pueden variar en función de la aplicación. Por ejemplo, el equipo de SecOps puede tener una política base para las aplicaciones que protegen contra el OWASP Top 10, que define los riesgos de seguridad más críticos para las aplicaciones web. Se pueden publicar otras políticas para aplicaciones que requieren controles adicionales, que podrían incluir aplicaciones que manejan datos sensibles o realizan transacciones financieras. El equipo de desarrollo usa estas políticas, al igual que otras partes de código de la aplicación.

ov devsecops y automatización

Los cambios en el «código» de seguridad se integran, aplican, prueban y construyen automáticamente mediante el conjunto de herramientas de automatización del proceso de IC/CD. Este enfoque desplaza los controles de seguridad al inicio del proceso de IC/CD, lo que permite que la seguridad sea una responsabilidad compartida en todo el proceso. Al igual que con cualquier otra parte de la aplicación, esto garantiza la aplicación consistente de la seguridad en todas las etapas del ciclo de vida del desarrollo: desarrollo, pruebas, control de calidad y producción.

Los equipos multifuncionales de DevSecOps pueden utilizar capacidades adicionales de integración de ChatOps (por ejemplo, Slack) para aumentar su eficiencia y asegurarse de que siempre están en sintonía. Sin embargo, las ChatOps pueden ser mucho más que mensajería y alertas. Cuando se integra con las herramientas de canalización, las ChatOps pueden proporcionar el progreso de DevOps en tiempo real e incluso iniciar acciones de canalización, como las actualizaciones de la política de Advanced WAF.

Conclusión

Más información sobre Advanced WAF:

Visite F5 Advanced WAF

PROXIMOS PASOS

Iniciar una prueba

Vea cómo funciona Advanced WAF con una prueba gratuita.

Contáctenos

Descubra cómo los productos y las soluciones de F5 pueden permitirle alcanzar sus objetivos.