(1) Luciano Moreira es un experto en seguridad cloud native y DevSecOps con una amplia experiencia en auditorías, certificaciones y capacitación. (2) El documento describe los desafíos de seguridad en entornos cloud native como la falta de perímetros definidos y la necesidad de enfoques no tradicionales. (3) También analiza informes de auditorías de seguridad de proyectos CNCF que encontraron principalmente vulnerabilidades de baja gravedad relacionadas con validación de datos y configuración.
Las malas configuraciones siempre nos sigue.
El control y bloqueo de la nube será el otro foco-objetivo. Las compañías están tendiendo a desplazar el contenido de sus servidores a la nube, un espacio que se considera extremadamente protegido pero cuya ruptura de barreras y descubrimiento de vulnerabilidad se ha convertido en uno de los bienes más preciados.
Realizar ciberataques contra la nube es un proceso más complejo que hacerlo contra servidores o dispositivos propios, pero también lo son las acciones para descubrir y poder bloquear este tipo de acciones.
DevSecOps ya no es una estrategia de nicho que pasa a segundo plano en DevOps, ahora es un movimiento de masas.
El año 2020 ha estado marcado por el rápido progreso de los paradigmas de DevOps transformadores, tales como: codesarrollo en comunidades globales, agnosticismo de plataforma, computación sin servidor, infraestructura como código, espacio de trabajo de extremo a extremo con experiencia unificada en todo el software. ciclo vital. Esa transformación de DevOps ha ofrecido una oportunidad única para la seguridad de las aplicaciones. Por primera vez en una década, es realista crear e integrar seguridad en un DevOps completo, convirtiéndolo así en DevSecOps. La ausencia de DevOps unificado, junto con la ausencia de herramientas nativas, fue un obstáculo para Sec. Ahora, el obstáculo se ha ido. DevOps ha dado un paso crítico hacia DevSecOps, que comenzó a ofrecer sus propias tecnologías de seguridad de aplicaciones.
XIII Encuentro de Ciberseguridad 5/12/2019 Hotel NH City
Beneficios, riesgos y recomendaciones en Cloud
Luciano Moreira / Cristian Ibiri
CLOUD SECURITY ALLIANCE
El cómputo en la nube ha sido ampliamente adoptado a nivel mundial y se espera que crezca aún más en los próximos años. Sin lugar a dudas, la agilidad empresarial es el principal beneficio y el factor clave detrás de la adopción de la nube, porque los recursos de TI se pueden adquirir y desplegar más rápidamente. Una vez desplegados, estos recursos se pueden aumentar o disminuir según sea necesario para satisfacer la demanda.
El enfoque de este documento es el diseño de arquitectura y seguridad de como un modelo le permite lograr los mejores controles de seguridad y visibilidad alineados con la agilidad, elasticidad y naturaleza automatizada de la infraestructura en la nube.
Las malas configuraciones siempre nos sigue.
El control y bloqueo de la nube será el otro foco-objetivo. Las compañías están tendiendo a desplazar el contenido de sus servidores a la nube, un espacio que se considera extremadamente protegido pero cuya ruptura de barreras y descubrimiento de vulnerabilidad se ha convertido en uno de los bienes más preciados.
Realizar ciberataques contra la nube es un proceso más complejo que hacerlo contra servidores o dispositivos propios, pero también lo son las acciones para descubrir y poder bloquear este tipo de acciones.
DevSecOps ya no es una estrategia de nicho que pasa a segundo plano en DevOps, ahora es un movimiento de masas.
El año 2020 ha estado marcado por el rápido progreso de los paradigmas de DevOps transformadores, tales como: codesarrollo en comunidades globales, agnosticismo de plataforma, computación sin servidor, infraestructura como código, espacio de trabajo de extremo a extremo con experiencia unificada en todo el software. ciclo vital. Esa transformación de DevOps ha ofrecido una oportunidad única para la seguridad de las aplicaciones. Por primera vez en una década, es realista crear e integrar seguridad en un DevOps completo, convirtiéndolo así en DevSecOps. La ausencia de DevOps unificado, junto con la ausencia de herramientas nativas, fue un obstáculo para Sec. Ahora, el obstáculo se ha ido. DevOps ha dado un paso crítico hacia DevSecOps, que comenzó a ofrecer sus propias tecnologías de seguridad de aplicaciones.
XIII Encuentro de Ciberseguridad 5/12/2019 Hotel NH City
Beneficios, riesgos y recomendaciones en Cloud
Luciano Moreira / Cristian Ibiri
CLOUD SECURITY ALLIANCE
El cómputo en la nube ha sido ampliamente adoptado a nivel mundial y se espera que crezca aún más en los próximos años. Sin lugar a dudas, la agilidad empresarial es el principal beneficio y el factor clave detrás de la adopción de la nube, porque los recursos de TI se pueden adquirir y desplegar más rápidamente. Una vez desplegados, estos recursos se pueden aumentar o disminuir según sea necesario para satisfacer la demanda.
El enfoque de este documento es el diseño de arquitectura y seguridad de como un modelo le permite lograr los mejores controles de seguridad y visibilidad alineados con la agilidad, elasticidad y naturaleza automatizada de la infraestructura en la nube.
CCOE el cuento de las tres adopciones de nubes y la Transformación Digital fe...Luciano Moreira da Cruz
La pandemia en curso y el aumento de los servicios digitales están haciendo de la nube la pieza central de las nuevas experiencias digitales, segun Gartner y a medida que cambia el modelo operativo, la organizaciónes cambiarán a un modelo operativo orientado al producto en el que todo el flujo de valor del negocio y de TI tendrá que alinearse por productos.
Para garantizar el éxito de la adopción de la nube, las organizaciones deben contar con las habilidades y la estructura adecuadas. La forma óptima de lograr esto es mediante la creación de un centro de excelencia en la nube centralizado (CCOE). Un CCOE es clave para impulsar la transformación de TI habilitada para la nube.
En este cuento veremos:
¿Qué es el CCoE (Cloud Center of Excellence)?
¿Por qué es importante un centro de excelencia en la Nube?
Trampas, errores
Recomendaciones y mejores practicas y mas
Whitepaper 5 maneras de mejorar la Seguridad en el Cloud Arsys
La seguridad en el Cloud es muy elevada. Sus estándares adoptados y las eficaces medidas que se ponen en marcha permiten desterrar, de una vez por todas, los mitos relacionados con este tema. En todo caso, es necesario considerar que los datos y las aplicaciones que se almacenan en la Nube son exclusiva responsabilidad del cliente. ¿Qué implicaciones tiene esto? ¿Cómo podemos mejorar la seguridad en la Nube desde esa perspectiva?
Charla impartida por Héctor Sánchez Montenegro el día 27 de Octubre de 2008 en Getafe (Madrid), dentro de la conferencia Asegúr@IT IV sobre los avances y preocupaciones de Microsoft en temas de seguridad informática.
El ransomware es una de las amenazas de más rápido crecimiento para cualquier organización. Ninguna empresa, grande o pequeña, es inmune a los ataques de los ciberdelincuentes. En esta sesión, mostramos cómo puede aprovechar los servicios y las capacidades de la nube AWS para proteger sus datos más valiosos de los ataques cibernéticos y acelerar la restauración de las operaciones.
Presentación ofrecida por Vicente Aguilera, dentro del marco del capítulo de ISACA de Valencia. Esta conferencia, mostraba las buenas prácticas recogidas en las principales iniciativas de seguridad del software existentes actualmente.
Informe de solución XG Firewall v18
Nuevos enfoques a la integración de la seguridad, nuevos sistemas de gestión y nuevas formas de identificar y responder a riesgos y amenazas
Octubre es el mes de Concientización sobre ciberseguridad, como una de las Champion organizations en Cloud Legion estamos orgullosos de impulsar esta iniciativa.
Descubra cómo puede adelantarse a las ciber amenazas mas comunes con consejos que les brindamos. Promovamos una cultura de ciberseguridad entre todos.
Juntos somos más fuertes hashtag#somoslegion.
¿Tiene lo que se necesita para ser un Legionario de la ciberseguridad?
A medida que las organizaciones cambian sus estrategias para adoptar el mundo de Cloud Native, el propósito de la nube pasa de ahorrar dinero a entregar y administrar aplicaciones de forma ágil. Plataformas como Cloud Foundry, Kubernetes entre otras, redefinen las posibilidades de los entornos de aplicaciones que utilizan la nube.
Más contenido relacionado
Similar a Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
CCOE el cuento de las tres adopciones de nubes y la Transformación Digital fe...Luciano Moreira da Cruz
La pandemia en curso y el aumento de los servicios digitales están haciendo de la nube la pieza central de las nuevas experiencias digitales, segun Gartner y a medida que cambia el modelo operativo, la organizaciónes cambiarán a un modelo operativo orientado al producto en el que todo el flujo de valor del negocio y de TI tendrá que alinearse por productos.
Para garantizar el éxito de la adopción de la nube, las organizaciones deben contar con las habilidades y la estructura adecuadas. La forma óptima de lograr esto es mediante la creación de un centro de excelencia en la nube centralizado (CCOE). Un CCOE es clave para impulsar la transformación de TI habilitada para la nube.
En este cuento veremos:
¿Qué es el CCoE (Cloud Center of Excellence)?
¿Por qué es importante un centro de excelencia en la Nube?
Trampas, errores
Recomendaciones y mejores practicas y mas
Whitepaper 5 maneras de mejorar la Seguridad en el Cloud Arsys
La seguridad en el Cloud es muy elevada. Sus estándares adoptados y las eficaces medidas que se ponen en marcha permiten desterrar, de una vez por todas, los mitos relacionados con este tema. En todo caso, es necesario considerar que los datos y las aplicaciones que se almacenan en la Nube son exclusiva responsabilidad del cliente. ¿Qué implicaciones tiene esto? ¿Cómo podemos mejorar la seguridad en la Nube desde esa perspectiva?
Charla impartida por Héctor Sánchez Montenegro el día 27 de Octubre de 2008 en Getafe (Madrid), dentro de la conferencia Asegúr@IT IV sobre los avances y preocupaciones de Microsoft en temas de seguridad informática.
El ransomware es una de las amenazas de más rápido crecimiento para cualquier organización. Ninguna empresa, grande o pequeña, es inmune a los ataques de los ciberdelincuentes. En esta sesión, mostramos cómo puede aprovechar los servicios y las capacidades de la nube AWS para proteger sus datos más valiosos de los ataques cibernéticos y acelerar la restauración de las operaciones.
Presentación ofrecida por Vicente Aguilera, dentro del marco del capítulo de ISACA de Valencia. Esta conferencia, mostraba las buenas prácticas recogidas en las principales iniciativas de seguridad del software existentes actualmente.
Informe de solución XG Firewall v18
Nuevos enfoques a la integración de la seguridad, nuevos sistemas de gestión y nuevas formas de identificar y responder a riesgos y amenazas
Octubre es el mes de Concientización sobre ciberseguridad, como una de las Champion organizations en Cloud Legion estamos orgullosos de impulsar esta iniciativa.
Descubra cómo puede adelantarse a las ciber amenazas mas comunes con consejos que les brindamos. Promovamos una cultura de ciberseguridad entre todos.
Juntos somos más fuertes hashtag#somoslegion.
¿Tiene lo que se necesita para ser un Legionario de la ciberseguridad?
A medida que las organizaciones cambian sus estrategias para adoptar el mundo de Cloud Native, el propósito de la nube pasa de ahorrar dinero a entregar y administrar aplicaciones de forma ágil. Plataformas como Cloud Foundry, Kubernetes entre otras, redefinen las posibilidades de los entornos de aplicaciones que utilizan la nube.
The Lord of Cloud Native – Part 1: The Concentric Rings of the Cloud-Native E...Luciano Moreira da Cruz
Crear un entorno en la nube y garantizar despliegues libres de conflicto, es una hazaña épica. En la primera parte de esta trilogía de webinars sobre cloud native, conoceremos los elementos indispensables para crear un poderoso entorno en la nube.
¿Queres realizar un proyecto de #DevSecOps y no sabés por dónde empezar?
En estas paginas no te vamos a brindar la receta mágica o la super metodología de #DevSecOps porque eso no existe. En su lugar este E-book está destinado a ser en parte terapéutico y en parte de alerta temprana. “Las historias presentadas no son una hoja de ruta. Lo que hacen es reconocer el fracaso como parte de la base de conocimiento de la comunidad DevSecOps”.
El verdadero aprendizaje, llega a través del fracaso. Si algo sale mal, tenemos que revolver, experimentar, hackear y nuestras mentes están más abiertas a recibir aportes externos.
A veces me pregunto si tanto nos gustan las historias de superación…. …¿Porque ninguna empresa o consultor publica sus casos de no éxito y como lo superaron?
A nadie le gusta fallar; preferiríamos tener éxito antes que no. Sin embargo, el fracaso es parte de la condición humana.
"Cuando algo sale como se esperaba, usamos ese proceso como una plantilla mental para futuros proyectos", El éxito en realidad "frena el proceso de aprendizaje" porque creemos que hemos establecido un patrón exitoso, incluso después de una sola instancia de éxito. Esto, a su vez, tiende a transformarse en "esta es la única forma de hacerlo“
DevOps y DevSecOps son palabras de moda. Hay muchos artículos que describen qué son y qué no son. Creo que podemos estar de acuerdo en que son culturas, una forma
de trabajo. También estoy seguro de que la mayoría de nosotros tenemos una impresión general de cómo debería ser: desarrollo, operaciones y seguridad trabajando juntos, rompiendo silos, entregando más rápido, automatizando, etc.
En la mayoría de las discusiones que hemos tenido con los profesionales de la industria, una pregunta que surge una y otra vez con respecto a DevSecOps, es "¿Hay un marco para ¿Adopción de DevSecOps?" Ahora hay buenas razones para esta pregunta y una es que muchas personas de operaciones empresariales conocen marcos como ITIL y Cobit. La respuesta a esa pregunta es: ”CALMS”
DevSecOps desaparecerá y DevOps tendrá la seguridad incorporada. Aquí está la seguridad que es relevante durante la codificación y la seguridad que es relevante durante las operaciones, pero nunca ha habido una "Sec" separada en DevOps. Ambas actividades de seguridad se convertirán en una parte integral de sus respectivas "mitades" del ciclo DevOps.
El fervor en torno a DevSecOps se enfriará porque el mercado y los analistas reconocerán que la seguridad en el desarrollo, la entrega y la producción deben incorporarse a un nivel fundamental, obviando así la necesidad de pensar en DevSecOps como algo separado de DevOps.
Introducción a Azure DevOps "Ventajas y características principales de Azure DevOps"
Introducción a DevSecOps
Azure DevOps + AST (Application Security testing tools)
¿Por qué usar Secure DevOps Kit for Azure?
Introducción a DevOps y Azure DevOps
Ventajas y características principales de Azure DevOps
Introducción a DevSecOps
Azure DevOps + AST (Application Security testing tools)
¿Por qué usar Secure DevOps Kit for Azure?
Conclusiones
Infraestructura Ágil es una guía de adopción de buenas prácticas creada y organizada por el colectivo de sysadmins a partir de experiencias que implican la automatización y el uso de métodos ágiles.
La idea principal es que este modelo ayude a los equipos de operación a realizar una transición segura dentro de su infraestructura para un modelo más eficiente y autónomo.
Los principales fundamentos de la Infraestructura Ágil son la automatización, las métricas y el uso de métodos específicos para el trabajo en equipo
En este ebook, usted encontrará un modelo organizado de forma coherente y sencilla para facilitar la adopción e implementación en su empresa.
“en el futuro todas las empresas se convertirán en un negocio basado en el software con el método DevOps con un rol fundamental siempre y cuando la seguridad esté integrada”. CEO de Microsoft, Satya Nadella,.
Objetivo y puntos clave de su presentación: Conocer los nuevos desafíos, incidentes, problemas de confianza en la Nube y por sobre todo las mejores practicas, recomendaciones e investigaciones.
Un refrán común entre los profesionales de la seguridad dice que "hay dos tipos de empresas en el mundo: los que saben que han sido hackeadas, y los que han sido hackeadas y aún no lo saben". Todas las organizaciones se ven involucradas en una batalla constante con los criminales para evitar ser vulneradas, e implementan soluciones de firewall, IDS/IPS, anti-malware, entre otras, las cuales detectan diariamente millones de incidentes. Sin embargo, como indicábamos en una entrada anterior (La seguridad tradicional no es suficiente), la seguridad de hoy necesita un enfoque donde la inteligencia de amenazas sea la prioridad. La gran pregunta es ¿quién debe hacerlo y de que forma?.
Objetivo y puntos clave de su presentación: Conocer los desafíos, incidentes reportados, y por sobre todo las mejores practicas, recomendaciones y normativas. Revisando los principios de seguridad para guiar a los proveedores de la nube y para ayudar a los clientes en la nube a evaluar el riesgo general de seguridad de la nube.
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0...Telefónica
Índice del libro "Big Data: Tecnologías para arquitecturas Data-Centric" de 0xWord escrito por Ibón Reinoso ( https://mypublicinbox.com/IBhone ) con Prólogo de Chema Alonso ( https://mypublicinbox.com/ChemaAlonso ). Puedes comprarlo aquí: https://0xword.com/es/libros/233-big-data-tecnologias-para-arquitecturas-data-centric.html
(PROYECTO) Límites entre el Arte, los Medios de Comunicación y la Informáticavazquezgarciajesusma
En este proyecto de investigación nos adentraremos en el fascinante mundo de la intersección entre el arte y los medios de comunicación en el campo de la informática.
La rápida evolución de la tecnología ha llevado a una fusión cada vez más estrecha entre el arte y los medios digitales, generando nuevas formas de expresión y comunicación.
Continuando con el desarrollo de nuestro proyecto haremos uso del método inductivo porque organizamos nuestra investigación a la particular a lo general. El diseño metodológico del trabajo es no experimental y transversal ya que no existe manipulación deliberada de las variables ni de la situación, si no que se observa los fundamental y como se dan en su contestó natural para después analizarlos.
El diseño es transversal porque los datos se recolectan en un solo momento y su propósito es describir variables y analizar su interrelación, solo se desea saber la incidencia y el valor de uno o más variables, el diseño será descriptivo porque se requiere establecer relación entre dos o más de estás.
Mediante una encuesta recopilamos la información de este proyecto los alumnos tengan conocimiento de la evolución del arte y los medios de comunicación en la información y su importancia para la institución.
Actualmente, y debido al desarrollo tecnológico de campos como la informática y la electrónica, la mayoría de las bases de datos están en formato digital, siendo este un componente electrónico, por tanto se ha desarrollado y se ofrece un amplio rango de soluciones al problema del almacenamiento de datos.
3Redu: Responsabilidad, Resiliencia y Respetocdraco
¡Hola! Somos 3Redu, conformados por Juan Camilo y Cristian. Entendemos las dificultades que enfrentan muchos estudiantes al tratar de comprender conceptos matemáticos. Nuestro objetivo es brindar una solución inclusiva y accesible para todos.
Inteligencia Artificial y Ciberseguridad.pdfEmilio Casbas
Recopilación de los puntos más interesantes de diversas presentaciones, desde los visionarios conceptos de Alan Turing, pasando por la paradoja de Hans Moravec y la descripcion de Singularidad de Max Tegmark, hasta los innovadores avances de ChatGPT, y de cómo la IA está transformando la seguridad digital y protegiendo nuestras vidas.
En este documento analizamos ciertos conceptos relacionados con la ficha 1 y 2. Y concluimos, dando el porque es importante desarrollar nuestras habilidades de pensamiento.
Sara Sofia Bedoya Montezuma.
9-1.
Trilogía The Lord of Cloud Native P3: El retorno del ¡Oops!
1. The Lord of Cloud Native – Part 3
The Return of the K… Oops!...
2. Luciano Moreira
• Chief DevSecOps strategy Officer en Cloud Legion
• Embajador del DevOps Institute
• Master en Ciberseguridad por la Universidad Camilo José Cela.
• Seleccionado como uno de los "50 Influential DevSecOps Professionals“
• MVP - Most Valuable Professional Microsoft Azure y Developer Technologies
• Co-Fundador y Tribe lider de DevSecOps Argentina y Latam,
• Presidente del capítulo argentino de la CSA Cloud Security Alliance
• Primer Auditor CSA STAR certificado en la región SOLA
• Auditor Líder ISO 27001:2013, 27018, 27017, 22301, 20000, 25000 y 9001
• Elegido Cybersecurity Consultant of the Year en los premios Cybersecurity Excellence Awards del 2016 al 2019,
• Instructor acreditado de los cursos (DevSecOps Foudation, DevSecOps Enginier y DevSecOps Master Professional)
Luciano_m_cruz lucianomoreiradacruz
3. Introduccion
Los 4c “anillos” del Cloud
Native Security
Desafíos Cloud Native
CNAPP – Cloud Native
Application Protection
Platform
Contenido
Mitre att&ck
!!! my precious
compliance!!!
CNCF STAG Audits
4. Hechos (Mi tesoro???)
Con demasiada frecuencia los que defendemos la seguridad de una
empresas estamos como Frodo y su desafío de custodiar al anillos
(Mi Tesoro) (en nuestro caso la información critica de nuestras partes
interesadas)
Pasar a la nube es más que una transición técnica a una nueva
plataforma. Es una parte fundamental parte de la estrategia de
crecimiento de una empresa y, aunque es estratégicamente
importante, también puede ser potencialmente perturbadora.
Para que la transformación a la nube tenga éxito, las empresas deben
ser conscientes de sus de sus retos organizativos y tecnológicos, y los
equipos de seguridad deben planificar cuidadosamente su estrategia
y enfoque.
Esta presentación tiene como objetivo proporcionar principios
importantes de Cloud Native Security basados en las tendencias y
conceptos de seguridad en la nube, que guiarán a las organizaciones
hacia una implementación fiable de la arquitectura de nube native.
5. El cambio está llegando, estes listo o no
Cloud Native es sobre cultura y no solo contenedores.
Previamente…
Como vimos en la primer y la segunda parte de esta trilogía
The Lord of Cloud Native - The Concentric Rings of the Cloud-Native
Enterprise y The Two or Four Towers
https://youtu.be/ugPf27soo6M https://youtu.be/Ibvcj_LnEwU
6. Introducción
¿Qué significa ser nativo de la nube? Según The Cloud Native Computing Foundation (CNCF), las tecnologías nativas de
la nube ayudan a las organizaciones a crecer y ejecutar soluciones en entornos de nube y arquitecturas locales.
En el clima de negocios actual, las empresas están adoptando rápidamente estas tecnologías, que incluyen
contenedores e infraestructura como código, especialmente porque la pandemia ha acelerado la transformación digital.
La seguridad de Cloud Native es motivo de especial preocupación porque estos proyectos se utilizan en todo el mundo
en muchas organizaciones diferentes.
Las empresas y los usuarios de estas aplicaciones deben ser conscientes de que una vulnerabilidad en una de estas
dependencias puede afectar a todo el sistema y, en algunos casos, provocar un compromiso completo del clúster.
Además de las vulnerabilidades, existen otros motivos de preocupación. Por ejemplo, la mayoría de los proyectos
nativos de la nube se basan en bibliotecas y dependencias que también son software de código abierto.
7. Introducción
En los últimos años ha habido un
número significativo de brechas de
seguridad a gran escala. Año tras
año, el recuento de incidentes de
seguridad aumenta
exponencialmente.
La gravedad de estas infracciones
también está aumentando, y la
digitalización a gran escala significa
que una gran cantidad de
información confidencial de los
usuarios está en riesgo.
El riesgo de robo de identidad podría
arruinar la reputación de una
empresa y hacerla responsable de
las violaciones del cumplimiento de
la seguridad.
Si bien el tiempo promedio para
identificar una brecha en 2020/2021
fue de 207 días, el ciclo de vida
promedio de una brecha desde la
identificación hasta la contención fue
de 280 días.
Las industrias que manejan
información confidencial, como las
industrias de la salud y las finanzas,
suelen ser el primer objetivo de los
piratas informáticos que buscan
datos personales.
Sin embargo, las industrias más
pequeñas también enfrentan
amenazas de seguridad porque son
más fáciles de violar.
Como Frodo y Sam en la Escalera a Cirith Ungol, el camino Cloud Native esta lleno de amenazas
8. Desafíos Cloud Native
Como le paso a Faramir en osgiliath, Las aplicaciones nativas de
la nube carecen de perímetros fijos presentes en la TI
tradicional (Boromir). Como resultado, los firewalls estáticos rara
vez resuelven su propósito de proteger las aplicaciones que se
ejecutan en instancias de nube de múltiples nubes, locales o
externas.
La naturaleza flexible, escalable y elástica de los entornos de
nube reduce además la velocidad y precisión con la que los
equipos de seguridad pueden diagnosticar incidentes de
seguridad. Combinados con estos, están los ciclos rápidos de
entrega y lanzamiento que hacen que sea complejo administrar y
aprovisionar políticas de seguridad manualmente.
Estos factores colectivamente presentan desafíos que requieren
un enfoque no tradicional para mitigar los eventos de seguridad
de los sistemas nativos de la nube.
9. Desafíos Cloud Native
Las vulnerabilidades
recientes y más destacadas,
como Log4Shell, ProxyShell,
ProxyLogon, ZeroLogon y
Spring4Shell, son solo el
comienzo de la batalla.
Estas estadísticas indican la
creciente necesidad de
inversiones agresivas en
seguridad en la nube.
Es la única forma de lograr
hacer frente a la era del
ORCO
Número de vulnerabilidades conocidas
11. MITRE ATT&CK & Cloud Native
Como hemos visto, el marco MITRE ATT&CK cubre la mayoría de las tácticas, técnicas y procedimientos (TTP) que los actores de
amenazas avanzadas podrían usar en sus ataques.
Sin embargo, a veces, podemos estar limitándonos al pensar que cubre todo tipo de ataque para cada entorno. Cuando hablamos de
seguridad en la nube, la mala configuración debe ser el centro de la conversación. La mala configuración de la infraestructura de la
nube representa la mayor amenaza para la seguridad de la nube empresarial.
12. CNCF (STAG)
Dentro del CNCF se encuentra el equipo (STAG) Security Technical Advisory Group, que
facilita la colaboración para descubrir y producir recursos que permiten el acceso seguro,
el control de políticas y la seguridad para operadores, administradores, desarrolladores y
usuarios finales en todo el ecosistema nativo de la nube.
El CNCF ha estado contratando firmas de seguridad independientes desde 2018 para
ayudar a analizar proyectos: Cure53, Trail of Bits, Atredis Partners y AdaLogics.
https://github.com/cncf/toc/blob/main/docs/projects.md#project-security-audits
Analicemos los informes de estas consultoras externas y sus hallazgos y la gravedad de
las vulnerabilidades.
https://github.com/cncf/tag-security
Una de las tareas del equipo es solicitar y coordinar auditorías
de seguridad independientes en proyectos nativos de la nube.
13. CNCF (STAG) Auditorias
Número de vulnerabilidades por proyecto, según los informes de auditoría de seguridad publicados por CNCF
El primer dato que analizamos es el número de
vulnerabilidades reportadas en cada proyecto.
No es ninguna sorpresa que Kubernetes haya
quedado en primer lugar.
Es el más grande de los proyectos, el más
adoptado, y tiene más código, por lo que hay
más posibilidades de encontrar vulnerabilidades
en él.
Los proyectos etcd y Helm quedaron en
segundo y tercer lugar, respectivamente.
14. CNCF (STAG) Auditorias
Número de vulnerabilidades por categoría de clase, según la clasificación
La validación de datos se destacó y es motivo de
preocupación aquí, ya que tenemos casi 60
vulnerabilidades de este tipo.
Cuando hablamos de validación de datos, tiene que
ver principalmente con la validación de entrada.
También incluye stack-based buffer overflows,
heap overflows, integer overflows y otros
problemas de validación de datos.
Utilizar datos no fiables sin validar es un problema
grave y puede causar todo tipo de vulnerabilidades.
15. En segundo lugar, después del tipo de vulnerabilidad de
validación de datos, está la mala configuración.
Una vez más, éstas suelen estar relacionadas con
problemas que se pueden prevenir si se implementan las
configuraciones de seguridad adecuadas.
Como se vio en el Webinar misCLOUDfiguration, las
configuraciones incorrectas son la causa principal de los
problemas de seguridad en la nube, por lo que no es de
extrañar que haya problemas similares para las
aplicaciones nativas de la nube.
CNCF (STAG) Auditorias
https://youtu.be/8fvOTBr-LH4
17. Incidentes de seguridad reales por tipo
Informe del Estado de la seguridad de las aplicaciones nativas de la nube de Snyk
18. Áreas de seguridad de mayor preocupación
desde la adopción de la nube nativa
Informe del Estado de la seguridad de las aplicaciones nativas de la nube de Snyk
19. Clasificación
Número de vulnerabilidades por gravedad, según los informes de auditoría de seguridad publicados por CNCF
¿qué pasa con la gravedad? / ¿Qué tan severas fueron las vulnerabilidades encontradas en esos proyectos? / ¿Son
fiables estos proyectos? / ¿Se puede confiar en ellos?
En su mayor parte, sí, estos son proyectos de código
abierto muy robustos.
Gracias al apoyo de la CNCF, están bien mantenidos y la
seguridad es siempre una prioridad.
De la colección de vulnerabilidades reportadas, la mayor
cantidad de vulnerabilidades son de gravedad baja,
seguidas de media. Eso significa que solo algunos de
estos proyectos tenían vulnerabilidades altas o críticas
que pondrían en peligro al usuario, lo cual es excelente.
En el grafico vemos un desglose de la cantidad de
vulnerabilidades por gravedad.
20. ¿Qué es la seguridad nativa de la nube?
"¡Seguridad nativa de la nube!" es el grito de batalla del día. Todos lo queremos. ¿Pero, qué es esto?
La seguridad nativa de la nube implica incorporar la seguridad en la estrategia general de desarrollo de
aplicaciones nativas de la nube de una organización. Este enfoque aborda los cambios en la infraestructura,
los equipos y los procesos necesarios para crear aplicaciones seguras. Por lo tanto, la seguridad nativa de la
nube hace hincapié en la seguridad de las aplicaciones para garantizar la detección y reparación de
vulnerabilidades en un entorno de nube.
La seguridad nativa de la nube requiere un enfoque holístico que integre la seguridad en el ciclo de vida del
desarrollo de software (SDLC). Una plataforma de seguridad puede ayudar a los desarrolladores a entregar
diseños basados en principios nativos de la nube: el equipo de desarrollo es responsable de proporcionar un
código seguro. Cada decisión de diseño debe tener en cuenta la arquitectura nativa de la nube para garantizar
que la aplicación sea completamente nativa de la nube.
21. Los 4 anillos del Cloud Native Security
Adoptar e implementar patrones y metodologías Cloud
Native es una cosa. La computación nativa en la nube
aprovecha el software de código abierto y no abierto
para implementar aplicaciones como microservicios
que se empaquetan en contenedores.
Otro aspecto importante como cualquier tecnología que
utiliza varias herramientas y plataformas
interconectadas, la seguridad juega un papel vital en la
computación nativa en la nube .
Proteger las aplicaciones nativas de la nube es un
desafío continuo, lento y quizás tedioso. Especialmente
los equipos más pequeños pueden tener dificultades
para proteger todos los aspectos de su aplicación
nativa de la nube.
22. Los 4 anillos del Cloud Native Security
En este apartado veremos las 4C de la seguridad nativa
de la nube. (Anillos del poder de la seguridad)
Esas "C" representan las diferentes capas (Anillos)
donde los desarrolladores y los equipos de DevOps
tienen que garantizar las mejores prácticas de seguridad
para cumplir con los objetivos de seguridad generales y
pasar las puertas correspondientes antes de exponer las
aplicaciones nativas de la nube a sus clientes.
Cada anillo del modelo de seguridad de Cloud Native se
basa en la siguiente capa más externa. El anillo de
código se beneficia de anillos de seguridad con bases
sólidas (Cloud, Cluster, Container, Code).
23. Anillo de Cloud
El anillo de la nube es el más externo y, como tal, es la más
crítica de todas.
La 'nube' es la base para configurar la seguridad de una
aplicación. Cada proveedor de la nube hace recomendaciones y
aplica medidas para ejecutar cargas de trabajo seguras en sus
entornos.
Obviamente, tales medidas cambian ya sea que esté
administrando sus propios clústeres de Kubernetes o esté
ejecutando Kubernetes en un proveedor de nube de terceros
como AWS, Azure o Google, cada uno con su propio conjunto de
recomendaciones y mejores prácticas.
La nube es la interfaz que interactúa con el mundo externo, que
incluye usuarios, complementos de terceros y API externas. Por
lo tanto, las vulnerabilidades en la capa de la nube causarían un
impacto significativo en todos los servicios, procesos y
aplicaciones que se alojan en ella
24. Anillo de Cloud - Seguridad
La seguridad en la nube varía de una nube a otra o de un centro de datos a otro, así que eche un vistazo a esta lista de
centros de seguridad de proveedores de la nube para profundizar más. Algunas cosas genéricas a considerar son,
adoptar un principio de privilegio mínimo , asegurarse de no usar la autenticación de contraseña y mantener sus
kernels parcheados. Algunos elementos en el espacio nativo de la nube a considerar aquí son:
•Intente cifrar todo el almacenamiento
en reposo, ya sea para volúmenes
persistentes para aplicaciones en
nodos trabajadores o Etcd en los nodos
maestros. Utilice el cifrado de nivel de
volumen persistente (PV), así como el
cifrado de grupos de almacenamiento.
Configure la configuración de grupos y
usuarios del sistema de archivos junto
con el modo de acceso correcto para
los volúmenes.
Guarde las copias de seguridad de
forma segura en el almacenamiento de
objetos, las configuraciones como el
bloqueo de objetos pueden ayudar
mucho al producto contra cosas como
los ataques de ransomeware.
Piense en utilizar un sistema operativo
inmutable para sus nodos de
Kubernetes, como Bottlerocket y RHOS
(anteriormente CoreOS).
Supervise activamente su
infraestructura en la nube durante el
tiempo de ejecución, comprenda cómo
se ve el funcionamiento normal para
ayudar a identificar operaciones
anormales que pueden ayudar a
identificar problemas de seguridad
activos.
Acceso de red seguro a la
infraestructura, como sus nodos de
plano de control, nodos etcd y nodos de
aplicación.
25. Anillo de Clúster
El segundo anillo está representada por el nivel de clúster (o, para ser más precisos: Kubernetes).
Kubernetes y su comunidad de código abierto ofrecen una amplia variedad de conceptos y herramientas que
podemos usar para fortalecer tanto el propio clúster de Kubernetes como las cargas de trabajo de nuestras
aplicaciones que se ejecutan en el clúster.
Un clúster es un conjunto de nodos (máquinas) que ejecutan aplicaciones en contenedores.
Esta capa considera los componentes del clúster y los componentes que se ejecutan dentro de un clúster
(también conocido como aplicaciones).
No todas las aplicaciones están orientadas al negocio, por ejemplo, un servicio de registro o métricas aún puede
considerarse una aplicación que se ejecuta en el clúster.
26. Comprendamos cómo proteger los clústeres:
Anillo de Clúster - Seguridad
Implementar
autenticación y
secretos
•Este paso requiere
que el usuario
demuestre que es
quien dice ser.
•El proceso de
autenticación puede
ser diferente de un
servicio a otro, pero
puede requerir
credenciales como
contraseñas,
certificados de
clientes, tokens y
otros.
Implementar
Autorización
•Desde el punto de
vista de un clúster,
debemos garantizar
una autenticación y
autorización
adecuadas
•El control de acceso
basado en roles
(RBAC) establece la
autorización
asignando roles a los
usuarios y
administrando sus
privilegios a nivel de
rol.
Controle con qué
privilegios
•Establezca permisos
mediante el uso de
contextos de
seguridad.
•Estas son
configuraciones que
se pueden aplicar a un
contenedor o un
conjunto de
contenedores dentro
de un clúster que
definen privilegios y
control de acceso.
Aplicar TLS
•Habilitar TLS entre los
componentes del
clúster es fundamental
para mantener la
seguridad del
clúster. Está previsto
que la comunicación
entre las API de un
clúster se cifre de
forma predeterminada
con la ayuda de TLS
Proteger nodos
•Es fundamental dotar
a los nodos de un
entorno seguro. Por
ejemplo, un único
servidor que actúa
como nodo maestro y
trabajador para el
clúster puede probar
Kubernetes en un
entorno de prueba.
27. Anillo del contenedor
El siguiente anillo que debe protegerse es el contenedor.
Una vez que la aplicación está desarrollada y lista para ser transportada en contenedores,
generalmente es hora de que sus equipos de desarrollo de aplicaciones trabajen con su canalización
de compilación.
Esto a menudo significa que, al final de su canalización, una imagen de contenedor probada y
validada está lista para enviarse a entornos de prueba, desarrollo, ensayo o producción.
Este proceso tiene varios aspectos donde las mejores prácticas de seguridad pueden entrar en
juego.
Además, las imágenes de contenedores permiten un control de versiones más estricto y una gestión
de parches más eficaz, ya que los contenedores no se actualizan; simplemente se reemplazan.
28. La seguridad constante de los contenedores implica principalmente tres cosas por las que las organizaciones deben
preocuparse:
Anillo de del contenedor - Seguridad
¿Qué tan seguras son sus
imágenes?
•Esto se reduce a asegurarse de
que sus contenedores estén
actualizados y libres de cualquier
vulnerabilidad importante que
pueda ser explotada por un actor
de amenazas.
•Las organizaciones deben
proteger no solo la imagen base,
sino también asegurarse de que
las aplicaciones que se ejecutan
en sus contenedores hayan sido
escaneadas y verificadas.
¿Se puede confiar en ellos?
•¿Los contenedores que se
ejecutan en su sistema están
construidos a partir de las
imágenes de sus
registros? ¿Cómo puedes
asegurarte de eso? Mediante el
uso de herramientas de firma de
imágenes como TUF o Notary ,
puede firmar sus imágenes y
mantener un sistema de
confianza para el contenido de
sus contenedores.
¿Se están ejecutando con los
privilegios adecuados?
•El principio de privilegio mínimo
se aplica aquí. Solo debe
ejecutar contenedores con
usuarios que tengan los
privilegios mínimos del sistema
operativo necesarios para llevar
a cabo sus tareas
• Es una mala idea ejecutar
contenedores privilegiados en
Docker o contenedores que
tienen todas las capacidades raíz
de una máquina host.
29. Anillo de código
La seguridad es responsabilidad del desarrollador: el nivel más
interno de los anillos “C” está representada por el Código. Si
pensamos en los principios y paradigmas culturales de
Dev(Sec)Ops como “You build it, you own it” y “Shift left on
security.”
En este anillo, es importante que las organizaciones confíen en las
integraciones de los pipelines CI/CD, el análisis de código
estático, el escaneo de seguridad y las pruebas automatizadas en
general.
Es el anillo donde las organizaciones tienen más control. El
código de sus aplicaciones es el corazón de sus sistemas, junto
con sus respectivas bases de datos, y generalmente están
expuestos a Internet; por lo tanto, los atacantes se centrarán en
esto si todos los demás componentes están protegidos
correctamente. (Recuerden Misconfiguration)
30. Anillo de código - Seguridad
¿cómo pueden las organizaciones asegurarse de que sus aplicaciones estén codificadas de manera adecuada y
segura cuando tienen decenas, cientos o tal vez miles de desarrolladores que escriben e implementan código todos
los días en su entorno de producción?
• Pruebas de seguridad de aplicaciones estáticas (SAST)
• Pruebas dinámicas de seguridad de aplicaciones (DAST)
• Pruebas de seguridad de aplicaciones interactivas (IAST)
Producir código seguro debe ser una prioridad para todos los desarrolladores. Esto significa
que no solo debemos usar bibliotecas y marcos adecuados para reducir o eliminar el riesgo
de ataques como inyecciones de SQL, secuencias de comandos entre sitios (XSS) u otros.
Además, debemos diseñar superficies e interfaces de API públicas con cuidado y garantizar
el manejo adecuado de casos extremos o argumentos no válidos que se pasan a esos
puntos de entrada.
Sin embargo, incluso si nosotros, como desarrolladores, seguimos estas reglas, no podemos
estar 100% seguros de que todos los aspectos de nuestra aplicación sean seguros.
31. !!!my precious humor !!!
Cloud Security
Access Brokers
my precious
SASE
my precious
uhhhh
My…
my precious
CASB
Secure Access
Service Edge
Cloud Security
Posture
Managemen
Cloud Native
Application
Protection
Platforms
32. Acrónimos por todas parte
Parece que cada vez que parpadea hay un nuevo
acrónimo brillante para describir los últimos
enfoques de seguridad cibernética:
• Cloud Security Access Brokers (CASB)
• Cloud Workload Protection Platforms (CWPP)
• Cloud Security Posture Management (CSPM)
• Secure Access Service Edge (SASE)
• Security Service Edge (SSE)
• SaaS Security Posture Management (SSPM)
Ahora Gartner acuño el último acrónimo: Cloud
Native Application Protection Platforms (CNAPP).
¿Qué significa todo esto y, lo que es más
importante, qué significa este nuevo término para
los desarrolladores?
33. ¿Qué significa CNAPP?
CNAPP significa plataforma de protección de aplicaciones
nativas de la nube.
El término fue acuñado por Gartner, quien reconoció las
crecientes necesidades relacionadas con la seguridad de
las aplicaciones en la nube. En términos generales, las
soluciones de CNAPP tienen como objetivo abordar la carga
de trabajo y la seguridad de la configuración al escanearlas
durante el desarrollo y protegerlas durante el tiempo de
ejecución.
CNAPP es un paso adelante en la seguridad en la nube. La
razón de esto es que CNAPP sirve como una convergencia
de múltiples tecnologías, combinando las capacidades de
las soluciones de seguridad en la nube existentes,
principalmente CSPM y CWPP, y también incluye elementos
de Cloud Infrastructure Entitlement Management (CIEM),
Kubernetes Security Posture Management (KSPM),
Detección y protección de API, seguridad sin servidor y más.
34. ¿Por qué existe CNAPP?
Hay dos elementos importantes en el término CNPP que ayudan a explicar por qué existe.
Nativo de la nube
• El cambio a la nube ha traído consigo una
amplia gama de nuevas necesidades de
seguridad.
• El surgimiento de entornos dinámicos y
efímeros dentro de la nube ha aumentado la
complejidad y ha creado interacciones únicas
e impredecibles.
• Los enfoques tradicionales de seguridad
basados en agentes no pueden proporcionar
la cobertura necesaria para mantenerse al
día con los entornos efímeros, en
contenedores y sin servidor
Protección de la aplicación
• Anteriormente, la mayoría de las
herramientas de seguridad en la nube se
centraban en ayudar a los equipos a
comprender la seguridad de su
infraestructura.
• Sin embargo, como dice Gartner, “ya no
basta con preguntar: '¿Es segura mi
infraestructura de nube?' Las herramientas
de seguridad ahora deben preguntar: '¿Son
seguras mis aplicaciones en la nube?'”
• Cuando se trata de aplicaciones en la nube,
las organizaciones deben ser holísticas en su
pensamiento de seguridad.
35. Componentes clave de CNAP
CNAPP es una integración de herramientas y capacidades diseñadas para proteger las aplicaciones nativas de la
nube desde el desarrollo hasta la producción. Desglosemos CNPP en sus componentes.
Development artifact
scanning
•Evaluación de debilidades en
los artefactos de desarrollo,
incluidos SAST/DAST, API,
análisis de composición de
software y escaneo de
exposición
IaC scanning
•Evaluación de debilidades en
archivos de configuración
etwork Configuration and
Security Policy
•Administración de políticas de
seguridad para controlar el
acceso
Addition Runtime Protection
Tools
•Tecnologías para aplicaciones
web y protección de API,
monitoreo de aplicaciones,
segmentación de red y
escaneo de exposición
Cloud Security Posture
Management (CSPM)
•Tecnologías para monitorear
automáticamente el riesgo en
configuraciones de servicios
de nube pública y ajustes de
seguridad, y asignarlos a
estándares y políticas de
seguridad
Cloud Workload Protection
Platforms (CWPP)
•Tecnologías para proteger
cargas de trabajo, incluidos
contenedores, sin servidor,
máquinas virtuales y
servidores.
Cloud Identity Entitlement
Management (CIEM)
•Tecnologías para gestionar el
acceso y hacer cumplir los
privilegios mínimos en la nube
mediante la supervisión de las
identidades de la nube y la
recomendación de políticas.
Kubernetes Security Posture
Management (KSPM)
•Tecnologías que solucionan
problemas de seguridad y
cumplimiento para Kubernetes
(es decir, CSPM para
Kubernetes)
36. Capacidades clave de CNAP
Es importante tener en cuenta que CNAPP es más que una unión de todas estas capacidades.
Al combinar los datos de comportamiento de
los usuarios de la nube y de las cargas de
trabajo, CNAPP proporciona información
avanzada que podría mejorar las tasas de
detección y reducir los falsos positivos.
Estos conocimientos pueden generarse, por
ejemplo, correlacionando configuraciones
incorrectas de postura con alertas de carga
de trabajo o derechos excesivos.
37. Beneficios de CNAPP
1.Mejor visibilidad de las
cargas de trabajo y de toda la
infraestructura para
identificar y priorizar el riesgo
1.Mejora de la identificación y
corrección del riesgo a través
de un enfoque de ciclo de vida
que ofrece consistencia de
seguridad y contexto desde la
codificación hasta el tiempo
de ejecución.
1.Menos errores de
configuración y gestión
optimizada de contenedores,
clústeres de Kubernetes y
otros componentes
1.Gastos generales y
complejidad mínimos al
administrar herramientas y
proveedores
1.Perfecta integración de
capacidades de escaneo en
SDLC y herramientas de
desarrollo
1.Cambie a la seguridad a la
izquierda y menos
dependencia de la protección
en tiempo de ejecución
1.Mejor conocimiento y
control del análisis de la ruta
de ataque; esto incluye
permisos y configuraciones
1.Retroalimentación de
seguridad bidireccional entre
desarrollo y operaciones
1.Seguridad nativa de la nube
(y no seguridad local
adaptada a la nube)
1.Seguridad de
infraestructura y aplicaciones
38. ¿Cómo puedo comenzar con CNAP?
A pesar de la exageración y la promesa, CNAPP sigue siendo más una categoría hipotética que una
herramienta real que ofrecen los proveedores.
La categoría está emergiendo y las herramientas aún no brindan todas las capacidades convergentes, a
pesar de lo que algunos proveedores puedan prometer.
Sin embargo, dado que los riesgos de la seguridad en la nube no son hipotéticos, se recomienda tomar
medidas y desarrollar su organización y sus herramientas para que estén listas para CNAPP.
Esto incluye la creación de un plan de seguridad en la nube y la investigación de proveedores con
capacidades que ofrezcan una base sólida para CNAPP mientras se evalúan sus ofertas.
Además, siga escaneando continuamente artefactos, contenedores y Kubernetes para identificar
vulnerabilidades y malware.
Como señala Gartner, concéntrese en soluciones que estén bien integradas, priorice el riesgo para evitar
perder el tiempo e incluya el conocimiento de la configuración de la nube.
39. Elementos clave de una plataforma de
seguridad nativa en la nube
•Inventario de recursos.
•El CNSP mantiene registros
de activos en el SDLC y
realiza un seguimiento de
todos los cambios para la
gestión automática de
recursos.
•La seguridad de la red
• ingiere registros de flujo de
tráfico directamente desde las
plataformas de
implementación y desarrolla
una comprensión profunda de
las reglas de firewall nativas
de la nube para escanear y
monitorear las amenazas de
la red.
•La gestión de
cumplimiento
•admite diferentes marcos de
cumplimiento principales para
monitorear la postura de
seguridad y el cumplimiento
en todo el marco de la nube.
•La seguridad de los datos
•utiliza reglas de clasificación
listas para usar para buscar
malware, monitorear el
cumplimiento normativo y
garantizar el cumplimiento de
los datos en todos los
entornos de implementación.
•La seguridad de la carga de
trabajo
•protege las cargas de trabajo
de las aplicaciones mitigando
proactivamente las amenazas
en tiempo de ejecución de las
instancias de producción.
•La gestión de acceso e
identidad (IAM)
•administra un marco sólido de
autenticación y acceso para
proteger las cuentas de los
usuarios como primera línea
de defensa mediante el
aprovechamiento de múltiples
herramientas de terceros.
•La detección, identificación
y remediación automáticas
•respaldan el modelado sólido
de amenazas mediante el uso
de datos históricos y el
panorama de seguridad
existente en la industria.
•La gestión de
vulnerabilidades
•identifica y protege los puntos
vulnerables de toda la pila
desde un punto de vista
holístico.
40. estrategias de seguridad nativas de la
nube
Responsabilidad compartida
por la seguridad
• aprovecha la participación tanto
de los proveedores de servicios
en la nube como del equipo de
seguridad interno de una
organización para garantizar la
seguridad de las aplicaciones.
Esto se hace asignando y
compartiendo la propiedad de
mantener la seguridad de los
componentes individuales de un
marco nativo de la nube.
• Si bien este modelo
generalmente brinda la ventaja
de planificar el marco de
seguridad de adentro hacia
afuera
Seguridad multicapa
• también conocida como el
enfoque de "profundidad
defensiva", implica monitorear
todas las capas de la red para
identificar y mitigar amenazas
potenciales individualmente. La
estrategia se basa
esencialmente en una serie de
herramientas y enfoques
diferentes para contrarrestar los
ataques junto con la planificación
de contingencia en caso de un
compromiso.
Cloud-Agnostic Security
• se usa comúnmente para
modelos de múltiples nubes
aprovechando un CNSP común
para múltiples proveedores de
servicios en la
nube. Básicamente, la estrategia
proporciona un panel único de
mejores prácticas de seguridad
para ser seguido por múltiples
partes y equipos distribuidos
para agilizar el monitoreo, el
cumplimiento y la recuperación
ante desastres.
41. estrategias de seguridad nativas de la
nube
Shifting Left
• Cambiar la seguridad a la
izquierda es otro cambio cultural
importante, que a menudo
requiere nuevas herramientas de
seguridad que puedan manejar
la escala y la velocidad del
entorno de desarrollo de
aplicaciones nativas de la nube.
• Este enfoque se centra en la
aplicación de medidas de
seguridad en las primeras etapas
del proceso de desarrollo de
software, como los análisis de
vulnerabilidades.
Securing Dependencies
• El código de la aplicación a
menudo contiene dependencias
de código abierto que se
encuentran en repositorios como
Python Package Index (PyPI).
• Puede proteger las
dependencias de las
aplicaciones mediante
herramientas automatizadas que
aprovechan las bases de datos
de vulnerabilidades integrales.
• Una herramienta de orquestación
nativa de la nube puede ayudarlo
a mantener la seguridad durante
el desarrollo activando acciones
de seguridad de la aplicación.
Defensive Depth
• Este enfoque, también conocido
como seguridad multicapa, utiliza
el monitoreo de la red para
detectar y remediar amenazas
individuales.
• El equipo de seguridad debe
monitorear cada capa de la red.
• Puede utilizar varias
herramientas y técnicas para
prevenir y responder a los
ataques y establecer planes de
contingencia para infracciones
exitosas.
43. Conclusión
“xxxx
“xxxx
“Desarrolle nuevas capacidades de operaciones con cuidado y en consulta con
los usuarios afectados. Una de las claves es nuestra capacidad de escuchar, una
vez escuché una frase, tenemos 2 orejas y 1 boca - utilízala proporcionalmente”
FIN ¿o talvez no?
44. CREDITS: This presentation template was created by
Slidesgo, including icons by Flaticon, infographics &
images by Freepik & Eddie Sharam
Based
Gracias
Notas del editor
Por si no pudieron ver la primer parte
https://www.youtube.com/c/ManageEngineLATAM
Abstract: La seguridad mejorada es un beneficio clave de las tecnologías nativas de la nube, debido a la inmutabilidad y segregación de recursos en contenedores, microservicios, microsegmentación, infraestructura sin servidor y todo eso corriendo en la nube (de proveedores con muchas certificaciones y compliance).
En la última parte de esta trilogía desmitificaremos la suposición de que las aplicaciones son inherentemente más seguras por el simple hecho de correr en contenedores sin agregar capas adicionales de seguridad y como esa afirmación es un concepto erróneo y muchas veces peligroso.
En esta sesión, analizaremos algunas amenazas clave en una plataforma nativa de la nube. Como sabemos las configuraciones incorrectas son una de las principales causas de los incidentes de seguridad (sobre en la nube), y las configuraciones de tecnologías nativas de nube (Kubernetes) as veces pueden ser complejas de proteger y administrar a escala empresarial.
xxxx, Consultor Especialista ITOM en ManageEngine LATAM
CNCF STAG
Estas bibliotecas generalmente se incorporan durante el ciclo de vida del desarrollo y rara vez se actualizan o verifican contra vulnerabilidades conocidas. Esta es otra vía que puede conducir a activos en la nube comprometidos.
Estas afirmaciones indican la creciente necesidad de inversiones agresivas en seguridad en la nube
el paso de cirith Ungol Escalera a Cirith Ungol y Ella-Laraña
“Muchas veces la esperanza nace cuando todo está abandonado”. (Legolas)
“Los elfos rara vez dan consejos descuidados, porque el consejo es un regalo peligroso, incluso de sabios a sabios”. (Gildor)
“Un héroe solo juega un pequeño papel en las grandes hazañas”. (Gandalf)
Es el trabajo que nunca ha comenzado el que tarda más en terminar”. (Sam)
“El hombre más poderoso puede ser asesinado por una flecha”
El marco MITRE ATT&CK para la nube lo ayudará a identificar las posibles amenazas relacionadas con un entorno en la nube y comenzar a proteger su infraestructura en la nube.
MITRE ATT&CK es una conocida base de conocimiento integral que analiza todas las tácticas, técnicas y procedimientos (TTP) que los actores de amenazas avanzadas podrían utilizar en sus ataques. En lugar de un estándar de cumplimiento, es un marco que sirve como base para los modelos y metodologías de amenazas.
En cualquier caso, al usar el marco MITRE ATT&CK para modelar e implementar su seguridad en la nube, tendrá una ventaja sobre cualquier estándar de cumplimiento, ya que guía a sus equipos de ciberseguridad y riesgo para que sigan las mejores prácticas de seguridad.
El seguimiento de cambios y actividades en su entorno de nube es vital para evitar la introducción de malas prácticas de seguridad y configuraciones incorrectas. Es por eso que los proveedores de la nube ponen a disposición de sus usuarios herramientas valiosas para este propósito.
No sea orgullosos como el Estos grupos analizan algunos de los proyectos de CNCF, especialmente los más maduros y ampliamente adoptados.
Estos archivos son legibles para usuarios humanos; pero son difíciles de analizar, y también es difícil automatizar los resultados como problemas en el rastreador de problemas del proyecto.
Entonces, para analizar estos resultados, tuvimos que descargar todos los archivos y analizar sus resultados
Después de hacer eso, en función de los datos proporcionados y recopilados a partir de estos informes de auditoría de seguridad, comenzamos a investigar y comparar los tipos y la gravedad de las vulnerabilidades, entre otras cosas.
Algunos informes no especificaron un tipo de vulnerabilidad, por lo que los normalizamos según la descripción de la vulnerabilidad y lo que afectaba. Aquí está el desglose de vulnerabilidades por tipo de vulnerabilidad de nuestro análisis:
La amenaza de los ataques a la cadena de suministro de software se ha cernido sobre la industria del software en un suave silencio. Todo esto cambió cuando Solarwinds sufrió un ataque a gran escala en la cadena de suministro de software que resultó en al menos $100 mil millones en costos de recuperación .
https://termly.io/resources/articles/biggest-data-breaches/
La mala configuración y las vulnerabilidades conocidas sin parches fueron responsables de la mayor cantidad de incidentes de seguridad en entornos nativos de la nube.
A diferencia de lo que más preocupa a las organizaciones, también preguntamos sobre incidentes anteriores que ocurrieron en la producción. Los dos principales tipos de incidentes por distancia fueron la configuración incorrecta y las vulnerabilidades conocidas sin parches, con un 45 % y un 38 % respectivamente. Más del 56 % experimentó una configuración incorrecta o un incidente de vulnerabilidad conocido sin parches que involucró a sus aplicaciones nativas en la nube .
Las fugas de datos por parte de personas internas tenían más del doble de probabilidades de haber ocurrido en organizaciones con altos niveles de adopción nativa de la nube , lo que refuerza que la adopción de principios de confianza cero se vuelve cada vez más importante en entornos basados en la nube completamente automatizados.
La mala configuración es el área de mayor preocupación al pasar a la nube nativa
Las plataformas nativas de la nube que utilizan herramientas automatizadas dependen de credenciales como secretos y tokens de API para operar, lo que requiere un enfoque más descentralizado para administrar dicho acceso. La necesidad de una gestión eficaz de este tipo de artefactos es un diferenciador clave de la era anterior a la nube más centralizada y un área importante de preocupación para los equipos de operaciones que transforman su infraestructura. Nuestra encuesta mostró que las configuraciones incorrectas eran el área de mayor preocupación, con más de la mitad de los encuestados afirmando que es un problema mayor para ellos desde que se cambiaron a una plataforma nativa en la nube . A pesar de que las fugas secretas y las fugas de datos no aparecen mucho en los datos de incidentes reales, se destacan como áreas de mayor preocupación, particularmente entre los grandes usuarios de tecnologías nativas de la nube.
Las vulnerabilidades clasificadas como bajas suelen tener una puntuación CVSS 3.0 entre 0,1 y 3,9, mientras que las medianas están entre 4,0 y 6,9, lo que generalmente significa que son más difíciles de explotar o tienen un impacto menor en el sistema que las altas o críticas. Muestra que incluso con el destacado talento de las empresas de consultoría de terceros para realizar auditorías de seguridad y encontrar vulnerabilidades, muy pocos proyectos tuvieron problemas significativos. Solo 17 vulnerabilidades se clasificaron como Altas y siete como Críticas en todos los proyectos probados.
Hay varios desafíos para asegurar la infraestructura basada en la nube. Los desarrolladores pueden implementar la infraestructura dinámicamente con configuraciones de infraestructura como código (IaC), normalmente escribiendo el código de la infraestructura simultáneamente con el código de la aplicación. Los desarrolladores pueden integrar herramientas de seguridad en sus flujos de trabajo para proporcionar información y consejos para la remediación. Por ejemplo, pueden habilitar pruebas locales con herramientas de interfaz de línea de comandos (CLI) y hacer que los datos de seguridad sean visibles en el entorno de desarrollo integrado (IDE).
Principio de diseño: Este enfoque por capas aumenta el enfoque informático de defensa en profundidad de la seguridad, que es ampliamente considerado como la mejor práctica para asegurar los sistemas de software.
Administrar políticas sólidas de seguridad de red y pod
Autorización RBAC
Gestión óptima de recursos de clúster
Asegurar el ingreso usando claves seguras TLS
Sabemos lo importante que es mantener los sistemas actualizados regularmente desde una perspectiva de seguridad y, gracias a las implementaciones de Kubernetes, esto se puede hacer sin tiempo de inactividad a través de actualizaciones continuas y configuración declarativa, lo que brinda beneficios relevantes para el negocio en términos de cumplimiento y control de gestión de cambios.
La C final se refiere a 'código'. Desarrollar la seguridad en el código de una aplicación es parte de 'DevSecOps', lo que implica priorizar la seguridad de la aplicación antes en el ciclo de vida del desarrollo de la aplicación.
Como lo analiza Gollum el espacio de seguridad está plagado de acrónimos y puede ser difícil hacer un seguimiento de todo.
Exploramos CNAPP, el último acrónimo de la industria acuñado por el informe de Gartner Innovation Insight para plataformas de protección de aplicaciones nativas de la nube, y por qué los desarrolladores deben conocerlo.
CNAPP, o Cloud-Native Application Protection Platform, es una nueva categoría de productos de seguridad que abarca la funcionalidad que se encontraba anteriormente en los productos Cloud Security Posture Management (CSPM) y Cloud Workload Protection Platform (CWPP) y más.
Los profesionales de la seguridad no son desarrolladores y los desarrolladores no son profesionales de la seguridad. En una encuesta reciente de Gartner, la falta de conocimiento interno sobre seguridad se calificó como el mayor desafío para proteger las aplicaciones nativas de la nube en una canalización de DevOps.
Esta brecha de conocimiento puede hacer que los equipos de seguridad intenten "cubrir todas sus bases" implementando muchos productos puntuales diferentes para abordar necesidades específicas. En teoría, esta cobertura de hombre a hombre puede parecer efectiva, pero en realidad, crea más trabajo mental para los equipos ya estirados; ahora son responsables de unir datos de productos separados.
Para los desarrolladores, esta correlación manual que requiere mucho tiempo provoca retrasos en los flujos de trabajo de desarrollo. Peor aún, los puntos ciegos de seguridad pueden conducir a riesgos no detectados a lo largo del ciclo de vida hasta que sea demasiado tarde.
Dado que CNAPP representa una convergencia de las categorías de productos de seguridad existentes, repasemos brevemente qué capacidades se encuentran bajo el paraguas de CNAPP.
Todo lo que sigue representa una solución puntual existente. Las CNAPP reúnen aspectos de estas soluciones puntuales para proporcionar una visibilidad completa de la pila en los entornos de nube y cambiar el enfoque de los problemas de seguridad individuales a combinaciones más amplias e interconectadas de problemas que representan un riesgo crítico