Cuatro claves para implementar sistemas DevOps seguros
- Customer Experience
Los consumidores esperan innovación constante en cada servicio o producto de su banco. Quieren formas más rápidas y sencillas de ahorrar, invertir e interactuar. Además de llevar la banca digital a todos los consumidores, las organizaciones financieras también tienen la tarea de desarrollar nuevas aplicaciones y soluciones, como plataformas de inversión automatizadas, pagos seguros y soluciones de criptodivisas. La creación de estas herramientas es posible gracias a DevOps, un sistema que ha de ser robusto, tener un alto rendimiento y una alta visibilidad para garantizar la seguridad.
La creación de nuevos productos financieros y la entrega de características innovadoras de manera rápida requiere un cambio en el enfoque de las empresas para el desarrollo de aplicaciones. DevOps se refiere al conjunto de prácticas y un cambio de cultura que tiene por objeto acortar el ciclo de vida del desarrollo y, al mismo tiempo, proporcionar un envío continuo de aplicaciones. Pero a pesar de la adopción de DevOps, los bancos pueden estar perdiendo un elemento clave de esta práctica: la seguridad.
Para implementar sistemas DevOps seguros es importante pensar en las herramientas y procesos que sus desarrolladores utilizarán al construir y entregar sus aplicaciones. Una plataforma de nube, en lugar de una CDN tradicional, puede procesar, servir y asegurar las aplicaciones lo más cerca posible de los usuarios pero ha de cumplir los siguientes requisitos:
1. Ha de tener un control robusto. Cuanto más se puedan alinear los controles de seguridad a una aplicación, más efectivos serán. Las empresas deben buscar una solución que sea totalmente configurable y basada en API, para que los desarrolladores puedan crear y ajustar sus propios controles de seguridad para WAF (cortafuegos de aplicaciones web), ACLs (listas de control de acceso), y TLS (Seguridad de la capa de transporte). Esto permite a los desarrolladores alinear mejor los controles con el software y las aplicaciones que están construyendo. Lo ideal es que esos controles se puedan ajustar a tiempo real basándose en los conocimientos clave del tráfico, y que los desarrolladores puedan impulsar los cambios a nivel mundial en segundos. Añadir la automatización lleva esta idea un paso más allá.
Por ejemplo, un desarrollador podría bloquear automáticamente cierto tráfico basado en una alerta. Cuando esa alerta se dispara de nuevo, ya se establece una resolución de bucle cerrado, lo que anula la necesidad de vigilar esa alerta. Este enfoque puede reducir significativamente el ruido de seguridad y permite a sus desarrolladores centrarse en otras iniciativas clave, como el apoyo a las últimas normas de criptomonedas.
2. Disponer de un alto rendimiento. Con el desarrollo de aplicaciones, existe un constante tira y afloja entre el rendimiento y la seguridad. Los controles de seguridad deben estar incorporados en la capa de la plataforma, para que pueda escalarlos rápidamente sin afectar al rendimiento. Algunos proveedores pueden mantener redes separadas para cosas como TLS, WAF, PCI DSS y el flujo de tráfico.
Sin embargo, si los componentes (como el WAF) están estrechamente integrados, se preservará el rendimiento de la aplicación, lo que permite a los desarrolladores mantener el alto rendimiento de las aplicaciones, a la vez que ofrecen experiencias seguras. Si se encuentra una nueva vulnerabilidad, o si desea implementar una función a tiempo para la temporada de impuestos, es importante que los usuarios reciban las correcciones y actualizaciones lo antes posible.
3. La visibilidad ha de ser integral. La visibilidad es fundamental en los entornos DevOps. Una organización necesita identificar y abordar rápidamente los problemas en cada etapa. Por ejemplo, si puede transmitir los registros desde el edge en casi tiempo real, obtendrá información valiosa para una rápida detección y mitigación.
Todos los registros deben proporcionarse en un formato estándar e integrarse con múltiples herramientas de análisis, de visualización o de información de seguridad y gestión de eventos (SIEM). La transmisión de registros a tiempo real de eventos e incidentes puede ayudar a proporcionar una resolución de circuito cerrado, permitiendo a sus equipos detectar automáticamente los incidentes y remediarlos rápidamente.
4. Una fácil integración en las cadenas de herramientas. Cualquier herramienta de una empresas debe encajar en su sistema DevOps (por ejemplo, no obligue a los desarrolladores a realizar pruebas de seguridad fuera de su entorno de cadena de herramientas preferido).
Estas cadenas de herramientas pueden incluir cadenas de herramientas comunes de CI/CD (Travis CI, Jenkins), herramientas de gestión de configuración (Chef, Puppet, Terraform), y sistemas de recuperación de código (GitHub). Todos los controles de seguridad deberían poder aplicarse en entornos de desarrollo e implantación basados en contenedores, como VMWare y Docker.
Las organizaciones financieras modernas han comenzado a incorporar la agilidad en sus equipos de ingeniería. Sin embargo, la mera implementación de DevOps deja fuera un elemento crucial del ciclo de vida del desarrollo.
En su lugar, las organizaciones deberían avanzar hacia la combinación de DevOps y seguridad, un enfoque que mantiene la capacidad de entregar rápidamente aplicaciones de alta calidad con la seguridad entretejida en todo. La integración de la seguridad en DevOps permite a las FinTech y a otras organizaciones de servicios financieros obtener el rendimiento, la visibilidad y el control necesario para construir aplicaciones seguras.