HERRAMIENTAS DEVSECOPS

C.D.G. - 1
 HERRAMIENTAS DEVSECOPS

1.- Transición a DevSecOps. 3

1.1.- Incentivos para la Transición DevSecOps. 3
1.2.- Requerimientos: Una Renovación de la Red de Centros de Datos. 4
2.- Ciberseguridad: Control de la Cadena de Suministro de Aplicaciones. 5
2.1.- Responsabilidades en la Cadena. 5
2.2.- Herramientas para cada Responsabilidad. 6
3.- Operadora: La Nube Empresarial. 7
3.1.- Un Entorno de Ejecución Seguro. 7
3.2.- Arquitectura de la Nube Empresarial. 7
3.3.- Arquitectura del Centro de Datos. 9
3.3.1.- Capas de Operación: Despliegue Aplicaciones. 9
3.3.2.- Capas de Articulación: Monitorización y Control de Recursos Lógicos. 10
4.- Factoría: Automatizando la Producción de Aplicaciones. 11
4.1.- Arquitectura de Procesos en la Fabricación de Aplicaciones. 11
4.2.- Herramientas para cada Proceso: RedHat Code Ready Portafolio. 12
4.3.- Liberando Aplicaciones: Repositorio Centralizado de Artefactos. 13
5.- Suministro de Medios de Producción. 14
5.1.- Las Plataformas de Entrega Continua. 14
5.2.- La Estructura de la Cadena de Valor. 15
5.3.- Mitigación de Riesgos. 16
6.- Bibliografía. 17

C.D.G. - 2
 HERRAMIENTAS DEVSECOPS

1.- TRANSICIÓN A DEVSECOPS.

1.1.- INCENTIVOS PARA LA TRANSICIÓN DEVSECOPS.
uatro pilares vertebran las motivaciones que llevaron a las Fuerzas
Aéreas de Defensa de Estados Unidos a realizar una modernización radical de
todo su sistema de producción de aplicaciones, que se intentan dilucidar aquí:
Blindar el sistema de armas más grande del mundo dentro del contexto del
inminente internet de las cosas adoptando los siguientes principios:
a. USUARIO - Eliminar la suplantación de identidad, al emplear un sistema
de credenciales basado en tarjetas SIM en lugar de contraseñas (en
línea de lo que viene proyectándose para el internet de las cosas)…
similar a una asignación nominal de una línea telefónica y que podrá
llegar a ser equiparable a un DNI electrónico… con una normativa en
constante evolución.
b. USUARIO - Sin simplicidad de uso, la seguridad no es posible: el empleo
de tarjetas SIM hace innecesarias muchas incómodas medidas
empleadas para impedir la suplantación de identidad (memorización de
muchas y complejas contraseñas, renovación frecuente de esas
contraseñas, un dispositivo asociado para autorizar transacciones, etc.).
c. PLATAFORMA - Entorno de ejecución de aplicaciones cerrado: las
plataformas DevSecOps son sistemas mucho más controlables al ser
Ciberseguridad gestionadas en su totalidad vía software.
d. PLATAFORMA - Microsegmentación reduce mucho la superficie y el tiempo
de exposición del plano de datos. Políticas de lista blanca por servicio
controla visibilidad entre servicios, minimizando la superficie de datos
expuesta. Además, cada frontal da acceso a un fragmento de esa
superficie de datos, y cada refresco de esos frontales renueva
propiedades de autenticación reduciendo su tiempo de exposición.
e. FACTORÍA - Análisis continuo del comportamiento de las aplicaciones:
gracias a especialistas en seguridad que continuamente estudian y
corrigen el comportamiento de las aplicaciones que producen las
factorías.
Software Defined Datacenter (Software Defined {Network & Storage &
Compute}): centros de datos gestionados por software reducen hasta un
60% los costes de mantenimiento de la maquinaria. También llamados
“Sistemas Operativos para Centro de Datos”, como serían OpenStack,
CloudStack, o Network Operating Systems (Juniper Apstra, Cisco ACI,
Reducción Costes Arista CloudVision, Nokia NOS, ONOS, OpenDaylight, Tungsten Fabric).
Velocidad de Entrega: La integración y automatización de todos los
procesos de una factoría garantizan poder afrontar los retos que impone
Entrega Continua esta nueva sociedad de la información.
a. Garantiza una evolución futura en cada una de las piezas que componen
la solución final, para adaptarse a la vertiginosa evolución de estas
tecnologías de nube.
b. Descartar sistemas obsoletos, reduciendo costes de mantenimiento de
todo el legacy que va amontonándose en los centros de datos (ejm.:
abandonar las máquinas virtuales cuya complejidad de gestión implica
Solución de elevados costes de mantenimiento al punto de impedir la escalabilidad
futuro de las aplicaciones; sustituir por contenedores).

C.D.G. - 3
 HERRAMIENTAS DEVSECOPS

1.2.- REQUERIMIENTOS: UNA RENOVACIÓN DE LA RED

DE CENTROS DE DATOS.

a transición a una metodología DevSecOps impone una renovación de

los antiguos centros de datos por nuevos, por tres motivos principales:
1. Control centralizado de la red de Centros de Datos1: aumentar
criterios de seguridad y adaptarse al inminente internet de las cosas…
conducen a sistemas de difusión de aplicaciones y autenticación de
usuarios centralizados en todo el sistema de nube, tal como hacen las
operadoras de telefonía móvil con sus recursos de red a nivel nacional.
2. Diseño específico de cada Centro de Datos para un ‘Software
Defined Datacenter’2 que garantice evolución futura: la transición
a una computación controlada por software no puede hacerse sin un
diseño específico de los centros de datos (según su papel dentro de la
red, se instalará un sistema operativo de centro de datos, o no quedará
otra que reemplazar la maquinaria por una nueva)… eventualmente
pueda integrarse los sistemas de autenticación de la telefonía móvil que
formarán parte de la interfaz de infraestructura (en la líneas de cómo
hace la industria del automóvil3). Los operadores de telefonía móvil
exponen su base de usuarios a los proveedores de servicios de red a
través de una interfaz (OSA=Open Services Access), tal vez pueda
emplearse este mismo mecanismo en la capa L0 de los centros de
datos, y mantener así un único sistema centralizado de credenciales
basado en tarjetas SIM para todo el ecosistema de computación.
3. Certificación de cada Centro de Datos4 antes de su puesta en
funcionamiento: al tratarse de una estructura compacta (una
plataforma con todas las piezas integradas) son imprescindibles las
sinergias necesarias para lograr un eficaz andamiaje de pruebas de
integración capaz de evaluar y versionar la evolución de la plataforma.

btener retorno a una inversión

de estas características implica
diversificar los resultados. En otras
palabras, certificar plataformas para
todos los posibles escenarios (tiempo
real en Telco Clouds, persistencia para
la Banca, etc.). Para ello resulta vital
una estandarización de las interfaces
de cada capa de la plataforma para
que admita cualquier implementación
interna… y así poder levantar una misma arquitectura con distintas
combinaciones tecnológicas, según estrategia a seguir en cada escenario.

1
Lt. Gen. Jack Shanahan (director del centro de inteligencia artificial del Departamento
de Defensa de Estados Unidos), “la falta de nube empresarial” https://fcw.com/it-
modernization/2020/05/pentagons-ai-chief-lack-of-enterprise-cloud-has-slowed-us-
down/196057/
2 ETSI, OSM Hackfest 9, “OSM Architecture and Installation, the Software Defined Datacenter”:
https://osm.etsi.org/wikipub/index.php/OSM9_Hackfest
3 Ciberseguridad, “iSIM, eSIM, XDR”: https://www.nokia.com/networks/cyber-
security/cybersecurity-tech-talk/
4 OPNFV, “Andamiaje Pruebas de Certificación Telco Clouds”: https://www.opnfv.org/

C.D.G. - 4
 HERRAMIENTAS DEVSECOPS

2.- CIBERSEGURIDAD: CONTROL DE LA CADENA DE

SUMINISTRO DE APLICACIONES.
2.1.- RESPONSABILIDADES EN LA CADENA.
a seguridad informática no es posible abordarla sin un enfoque
holístico que involucre a todos los eslabones de la cadena de
suministro de aplicaciones. Este capítulo aspira a definir las
responsabilidades que tiene cada eslabón de la cadena. En el siguiente
capítulo, algunas propuestas de herramientas para cumplir con estas
responsabilidades:

• Acceso, despliegue de aplicaciones: red de centro de datos donde

desplegar servicios y sistema de identidad para acceder al ecosistema de
aplicaciones, con la necesaria automatización extremo a extremo.
• Distribución, homologación de servicios: garantizar las condiciones
de despliegue de los servicios que, cual piezas de lego, se emplean para
componer aplicaciones finales… siendo suministrados y actualizados, de
manera continua, a través de un sistema de repositorios.
• Producción, factorías de aplicaciones: diseñar aplicaciones bajo
metodología DevSecOps que garantiza parámetros de estabilidad y
seguridad. Esto implica:
o Datos – Diseño de la Exposición de la Superficie de Datos: políticas de
acceso de cada llamada de la API al plano de datos.
o Lógica – Diseño Interfaces: Visualizar el sistema de dependencias
entre servicios, para mantener estables los contratos de
funcionalidades que ofrece cada servicio.
o Comunicaciones – Microsegmentación: políticas de lista blanca entre
los servicios que componen cada aplicación.
o Contenedor – Diseño del encapsulado: metodología de encapsulado y
securización en contenedores para su posterior distribución.
o Certificación de Artefactos – sistema de puntos de autorización en la
cadena de suministro software para acelerar las autorizaciones
necesarias de cada entrega a producción.

C.D.G. - 5
 HERRAMIENTAS DEVSECOPS

2.2.- HERRAMIENTAS PARA CADA RESPONSABILIDAD.

DISEÑO – Factoría de Aplicaciones

Certificaciones
Exposición Diseño APIs Construcción
antes de
Datos (Dependencias) Contenedor
Producción

Políticas de
Acceso a Continuous
Filogenética Metodología
los Datos Authorization
de Servicios NSA & CISA
( Visibilidad to Operate
FE -> BE)

ENTORNO DE EJECUCIÓN – Operadoras de Centros de Datos

Tarjeta SIM Condiciones Conexión µSegmentación

Secure Access
Service Edge Manifiesto Lenguaje de
IP eXtended (SASE) Malla Políticas Lista
Multimedia Detection and (Automatización Servicios Blanca por
Subsystem Response (XDR) extremo a extremo, (Sidecar Servicio
(AAA para (Escaneo Continuo Control central de Container, (Gestión de la
Tarjetas SIM) de Accesos) accesos a cada Monitorización Superficie de Datos
recurso de la nube Plataforma) Expuesta)
empresarial)
Metodología NSA &CISA, “Guía de securización Kubernetes” https://www.nsa.gov/Press-
Room/News-Highlights/Article/Article/2716980/nsa-cisa-release-kubernetes-hardening-guidance/
Departamento de Defensa de Estados Unidos cATO, “Continuous Authorization to Operate”,
https://media.defense.gov/2022/Feb/03/2002932852/-1/-1/0/CONTINUOUS-AUTHORIZATION-TO-
OPERATE.PDF

C.D.G. - 6
 HERRAMIENTAS DEVSECOPS

3.- OPERADORA: LA NUBE EMPRESARIAL.

3.1.- UN ENTORNO DE EJECUCIÓN SEGURO.
al como se ilustra en la página anterior, la ciberseguridad depende de
dos factores: aplicaciones seguras de fábrica y entorno de ejecución seguro:

• Factorías - Diseño aplicaciones seguras, para ello han de

gestionar:
o El diseño del plano de lógica: APIs y dependencias.
o El diseño del plano de datos: políticas de acceso.
o El diseño de las comunicaciones internas de aplicación: políticas
de lista blanca entre servicios.
o Encapsulado de artefactos, las condiciones de instanciación.
• Operadora de Centro de Datos – El Entorno de Ejecución, las
operadoras deben contar con una nube empresarial, es decir, la
capacidad de gestionar centralmente todos los recursos de una red de
centros de datos (tanto físicos como lógicos), con su sistema de
políticas de acceso.

3.2.- ARQUITECTURA DE LA NUBE EMPRESARIAL.

n la imagen cómo las operadoras de telecomunicaciones simulan 5 una
red de cincos centros de datos controlados centralmente donde hacer pruebas
de servicios de red en un solo ordenador. Se trata del esquema organizativo
(o arquitectura) de una nube empresarial que permite desplegar un entorno
de ejecución de aplicaciones seguro y con posibilidad de mejora constante de
la ciberseguridad, agregando sistemas de autenticación por tarjeta SIM o
detección y respuesta automática ante amenazas además federar aplicaciones
para crear aplicaciones distribuidas que reducen la fragmentación de datos,
un enrutamiento a largo del contenido requiere diseño de los meta-datos para
visibilidad y crecimiento controlado del contenido.

n la arquitectura de la imagen cabe destacar la siguiente estructura:

5Simulación de una nube empresarial:

https://jwcn-eurasipjournals.springeropen.com/articles/10.1186/s13638-019-1493-2
C.D.G. - 7
 HERRAMIENTAS DEVSECOPS

• Capa Emulación: Infraestructura operativa de la red de centros de

datos. Aparecen dos capas claramente desacopladas:
o Capa L0: NetOps - Software Defined Data Center... en Telco Cloud
esta capa recibe el nombre de VIM (Virtual Infrastructure Manager,
Gestor de la Infraestructura de Virtualización), se simula cada uno
de los centros de datos de la red con OpenStack metido en una
máquina virtual. En un entorno de computación cada centro de datos
consistiría en una red de clústeres kubernetes, que admite tres
posibles esquemas de montaje: sobre máquinas físicas, sobre
OpenStack o sobre un Network Operating System (Arista
CloudVision, Juniper Apstra, Cisco ACI, Nokia NOS, ONOS,
OpenDaylight, Tungsten Fabric, etc.).
o Capa L1-L2-L3-L4: GitOps - Plataforma de Entrega Continua... la
simulación prescinde de toda esta estructura, despliegan las
funciones virtualizadas de red directamente sobre Docker. En un
entorno de computación, consistiría en las configuraciones de los
clústeres, un sistema de entrega continua (como Jenkins) y un
sistema de malla de servicios (como Istio).
• Capa MANO: Articulación de la red de centros de datos. Aparecen dos
elementos principales:
o Capa MANO: controlador que distribuye las funciones virtualizadas
de red por toda la red de centros de datos. En computación, no existe
un equivalente, cada factoría de aplicaciones debe diseñar un gestor
que permita distribuir sus aplicaciones por todos los nodos de su
nube empresarial desde un único centro de control.
o Interfaz VIM: API a través de la cual el controlador MANO actúa sobre
cada centro de datos (representada por un punto blanco en cada
VIM). En un entorno de computación, se trata de un controlador de
área de servicio capaz de gestionar la red de clústeres de cada centro
de datos. Estas áreas de servicio se federan y se controlan desde una
cabecera principal, lo que recibe el nombre Universal Networking
Fabric (UNF)6.

a imagen
representa la UNF de
Nokia Nuage
Networks 7 donde se
aprecia claramente la
federación de
controladores de área
de servicio gestionadas
desde una cabecera
principal8 desde donde
se configuran las
políticas de acceso a
todos los recursos de la
red.

6
UNF, Controladores de SDN: https://en.wikipedia.org/wiki/List_of_SDN_controller_software
7
Nokia, The Universal Networking Fabric: https://onestore.nokia.com/asset/212701
8 OVH Installs Nuage SDN for OpenStack as a Service, https://convergedigest.com/ovh-installs-

nuage-sdn-for-openstack-as/
C.D.G. - 8
 HERRAMIENTAS DEVSECOPS

3.3.- ARQUITECTURA DEL CENTRO DE DATOS.

3.3.1.- CAPAS DE OPERACIÓN: D ESPLIEGUE APLICACIONES.

Plataforma
Entrega Continua

https://p1.dso.mil

Software Defined
Data-Center (UNF)

https://www.cloud.mil/

C.D.G. - 9
 HERRAMIENTAS DEVSECOPS

CAPAS OBJETIVO TECNOLOGÍAS

L0 • Máquinas Físicas: despliegue y control de • Cisco Application Centric
Infraestructura una federación de racimos de ordenadores Infrastructure (ACI)
(IaaS) (o clústeres en inglés) desde una cabecera • Juniper Apstra
principal. El conjunto de prácticas L0 suelen • Arista CloudVision
llamarse “Infraestructura como Código”, • Nokia Data-Center Fabric
aplicadas a través de una metodología • ONOS, OpenDaylight
NetOps. • Tungsten Fabric
• OpenStack, CloudStack
L1 • Terminaciones de Lógica: instanciar las • RedHat OpenShift
Plataforma pods (con sus contenedores) que componen • Novell Rancher
(PaaS) un servicio sobre la federación de clústeres • Canonical Charmed
de la infraestructura L0. Kubernetes
• VM Ware Tanzu
L2 • Servicios: aprovisionamiento y • Helm Chart
CI/CD actualización continua de servicios • RedHat OpenShift
desplegados en varias terminaciones de Pipelines
lógica (entre frontales y back-end) • Tekton
gestionadas por la plataforma L1. • Jenkins, Jenkins X
• ArgoCD, GitLab
L3 • Aplicación: automatización del despliegue • RedHat OpenShift
Service Mesh de todos los servicios de una aplicación (en Service Mesh
sus seis estrategias principales: recreate, • Istio
ramped, blue/green, shadow, canary, a/b • Traffik
testing) y gestión de logs, en otras palabras,
ensamblar los servicios aprovisionados por
la capa L2.
L4 • Ecosistema Aplicaciones: sistema de • RedHat OpenShift
Serverless contextos para crear modelos de cohesión Serverless
(FaaS) en el diseño de aplicaciones, es decir, • Knative
facilitar la creación de ecosistemas, tal como
hace un servidor de aplicaciones.
3.3.2.- CAPAS DE ARTICULACIÓN: MONITORIZACIÓN Y CONTROL DE
RECURSOS LÓGICOS.

as capas de articulación monitorizan y controlan de manera

centralizada todo el ecosistema de aplicaciones orientadas a servicios. En la
imagen de la página anterior se representan con una doble flecha azul,
etiquetada con “Continuous Monitoring”, indicando que son transversales a
todas las capas de operación, que coordinan las operaciones a lo largo de toda
la estructura de capas y así se articula los servicios de una manera sencilla.
La gestión de recursos físicos la realizan los controladores de SDN de cada
centro de datos, mientras que los lógicos los gestiona un controlador de
aplicaciones en cada centro de datos con las siguientes responsabilidades:
CAPAS OBJETIVO TECNOLOGÍAS
A0 • CMP – Plataforma de Monitorización Continua: • Kiali
Coreografiado gestión centralizada de una federación de mallas de • Sidecar Container
Ecosistema servicio a lo largo del centro de datos. La Security Stack
Servicios monitorización de servicios se basa en el contenedor • D2IQ
(Outband) side-car, que integra logs y herramientas de
monitorización de comunicaciones HTTP (ej: Jaeger).
A1 • SDP – Plataforma de Despliegue de Servicios: • RedHat Advanced
Orquestación secuenciación de arranque de la plataforma de Cluster Manager
Ciclo de Vida entrega continua y control centralizado de los • Open Cluster
del Servicio despliegues: 1) creación e 2) inicialización de la red Management
(Inband) de clústeres, 3) asignación de pipelines de despliegue • D2IQ
de artefactos a los distintos clústeres de la red;
4) arranque plataforma de monitorización continua.
C.D.G. - 10
 HERRAMIENTAS DEVSECOPS

4.- FACTORÍA: AUTOMATIZANDO LA PRODUCCIÓN

DE APLICACIONES.

4.1.- ARQUITECTURA DE PROCESOS EN LA

FABRICACIÓN DE APLICACIONES.
l punto de partida consistiría en normalizar la estructura de
procesos de una factoría9 DevSecOps a través de instituciones
europeas como el ETSI.
partir de una estructura de responsabilidades bien perfilada, surgen
las herramientas 10 que cada proceso necesita para realizar satisfactoriamente
sus funciones. Las herramientas que cada factoría va a necesitar para cumplir
con esas funciones variarán según el tipo de aplicaciones que deba producir.
n la imagen, un resumen de las herramientas más comunes en cada
etapa del ciclo de vida de producción de aplicaciones.

a seguridad11 debe estar presente en cada etapa del ciclo de vida

DevOps que aplican las factorías software, sin embargo, debido a la necesidad
de un enfoque holístico de toda cadena de suministro, tanto la toma de
decisiones sobre medidas a aplicar en cada etapa por las distintas factorías,
como la evaluación del rendimiento de esas medidas de seguridad y los
correctivos asociados, se realizan en un proceso paralelo al de producción…
especializado en mejorar la seguridad informática de cada una de las
aplicaciones de manera independiente, y conjunta dentro del ecosistema de
aplicaciones donde vaya a integrarse.

9 IBM RedHat Secure Software Factory: http://redhatgov.io/workshops/secure_software_factory/

10 Michael Bryzek, Design Microservices the Right Way: https://youtu.be/j6ow-UemzBc
11 Nokia Berlin Security Centre, análisis y mejora continua de la seguridad en aplicaciones

informáticas: https://youtu.be/JIEoRChIus8
C.D.G. - 11
 HERRAMIENTAS DEVSECOPS

4.2.- HERRAMIENTAS PARA CADA PROCESO: REDHAT

CODE READY PORTAFOLIO.
n la imagen la Suite integrada para desarrollo de aplicaciones para
una metodología DevOps que está desarrollando RedHat, cuyo nombre
comercial es RedHat Code Ready12.

a suite no es completa, y requiere ser ampliada con otras

herramientas, especialmente validación de APIs13, análisis de dependencias14
y microsegmentación. Esto implica un complejo proceso de evaluación hasta
lograr integrar satisfactoriamente todas estas herramientas en una solución
final de la que inferir una metodología única de trabajo para toda la factoría
(similar a Métrica v315 en administraciones del Estado):

• Red Hat CodeReady Workspaces & Eclipse Che: IDE basada

en Eclipse para trabajar con Kubernetes.
• Red Hat CodeReady Containers: despliegue local de clusteres
OpenShift.
• Odo: CLI para automatizar despliegues abstrayendo todos los
aspectos técnicos de Kubernetes. Puede integrarse en Eclipse.
• Red Hat OpenShift developer console.
• OpenShift Pipelines and Tekton for CI/CD.
• OpenShift Serverless and Knative.
• VS Code / IntelliJ: IDEs alternativos.
• Red Hat CodeReady analytics: análisis de dependencias.
• Red Hat CodeReady toolchain.

12 Developer Tools, RedHat Code Ready Roadmap:

https://developers.redhat.com/summit/2020/developer-tools-codeready-roadmap
13 API Builder: https://www.apibuilder.io/
14 Endor Labs, gestion de dependencias: https://www.endorlabs.com/
15 Métrica v3:

https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Metrica_v3
.html
C.D.G. - 12
 HERRAMIENTAS DEVSECOPS

4.3.- LIBERANDO APLICACIONES: REPOSITORIO

CENTRALIZADO DE ARTEFACTOS.
a imagen representa cómo el Departamento de Defensa de Estados
Unidos distribuye servicios en todo su ecosistema de factorías software a
través de los repositorios de código fuente RepoOne16 y artefactos IronBank17.

as fábricas liberan un código fuente validado por el sistema de

autorización continua. A continuación, un proceso de homologación (imagen
de abajo) construye, a partir del código fuente, los artefactos que finalmente
van distribuirse y desplegarse en los distintos clústeres. En entornos de
desarrollo, no hay homologación, sino que se automatiza el proceso: se
concatena un pipeline CI/CD de build (construcción de artefactos a partir del
código fuente) con uno GitOps de deploy (instanciación automática de esos
artefactos en los distintos clústeres). Para poder automatizar el proceso, se
limita y estandariza el abanico de artefactos que manejan los pipelines GitOps
de despliegue.
RELEASE… LIBERACIÓN CÓDIGO FUENTE BUILD… CONSTRUCCIÓN ARTEFACTOS

16 Repo One, DoD Centralized Source Code Repository (DCCSCR):

https://repo1.dso.mil/dsop/dccscr
17 Iron Bank, DoD Centralized Artifacts Repository (DCAR): https://docs-
ironbank.dso.mil/overview/
C.D.G. - 13
 HERRAMIENTAS DEVSECOPS

5.- SUMINISTRO DE MEDIOS DE PRODUCCIÓN.

5.1.- LAS PLATAFORMAS DE ENTREGA CONTINUA.
as factorías de todas las industrias requieren de una sofisticada
maquinaria para poder producir aquello que deben suministrar a la sociedad.
Para el caso de factorías de aplicaciones, se trata de plataformas de entrega
continua que permitan desplegar aplicaciones orientadas a servicios.
n la computación se da la anomalía de que las factorías de aplicaciones
tienen la titánica labor de ensamblar sus propias plataformas DevSecOps, es
decir, su propia maquinaria de producción. Tarea que abordan sin guía alguna
y a partir de toda la tornillería que suministra el código abierto. Tanto
operadoras de centros de datos como las factorías de aplicaciones tienen dos
posibilidades: bien suscribirse a plataformas de grandes capacidades (como
Amazon); bien montar sus propias plataformas propietarias de bajo
rendimiento y dudosa viabilidad futura.
lquilar computación compartida por millones de usuarios (como
Amazon) para alojar lógica crítica de negocio no es una práctica segura. Así
que para reducir costes, las operadoras barajan complejos equilibrios entre
qué parte queda alojada en servidores externos (tipo Amazon), y qué parte
en plataforma privada más segura, pero de bajas prestaciones y alto coste.
l resultado final de estas estructuras híbridas, compuestas en base
retales no concebidos para integrarse en una estructura final (y en muchas
ocasiones, incompatibles entre sí y/o inviables a largo plazo) son plataformas
difíciles de operar y mantener, con serios problemas de seguridad y costes
desorbitados.
urge la necesidad de establecer una cadena de valor capaz de
suministrar este tipo de plataformas, tanto a factorías de
aplicaciones, como a operadoras de centros de datos, evitando todos
los riesgos de seguridad que implica alquilar computación, además de
simplificar la operativa de estas plataformas con diseños especializados,
reduciendo enormemente sus costes de operación y mantenimiento. En el
sector de la aeronáutica se da la excepcional condición de diseñar de manera
conjunta tanto entorno de fábrica como el de operadora de centros de datos,
lo que lo transforma en
privilegiado para la
integración de una
solución final capaz de
resolver todas las
cuestiones de
ciberseguridad, sirviendo
así de referencia para un
nuevo tejido industrial de
suministro de
aplicaciones software, la
única forma de abordar el
dilema de la soberanía
digital europea.

C.D.G. - 14
 HERRAMIENTAS DEVSECOPS

5.2.- LA ESTRUCTURA DE LA CADENA DE VALOR.

FASE OBJETIVO DESCRIPCIÓN

• Arquitectura - Modelo de Sistema: instituciones de

1
normalización, como ETSI, coordinan todo el ecosistema
productivo gracias a un único modelo de sistema para la
plataforma, tomando como punto de partida las
especificaciones de fabricación de las plataformas Cloud One
y Platform One del Departamento de Defensa de Estados
Arquitectura Unidos, disponibles al público en internet.
• Diseño - Factorías de Plataforma y Componentes: dos

2
piezas claramente diferenciadas:
o L0 – NetOps - Software Define Data-Center: la
infraestructura física de estas plataformas. Hay varias
soluciones en el mercado, entre ellas Nokia Datacenter
Fabric, cuya ventaja es la imposibilidad de vendor-lockin
(las operadoras necesitan instalar un mix de fabricantes
en sus Telco Clouds, además de OpenStack).
Diseño o L1-L2-L3-L4 – GitOps - Plataforma de entrega continua:
solo existe en el mercado una solución que contemple las
cuatro capas de la entrega continua (Kubernetes, CI/CD,
Malla de Servicios y Serverless): RedHat OpenShift.
• Pruebas - Homologación de Plataforma: los andamiajes

3
de pruebas de certificación evalúan las diferentes opciones
tecnológicas, estableciendo modelos de infraestructura para
cada caso de uso que permitan versionar cada evolución.
OPNFV certifica núcleos de red 5G sobre Telco Clouds, siendo
Pruebas el instituto Fraunhofer su representante más destacado.
• Clientes – Sistema de Necesidades: la evolución depende

4
de las directrices provenientes del sistema de necesidades:
las factorías de aplicaciones y los operadores de centros de
datos de las distintas actividades económicas. Es necesaria la
colaboración de sectores estratégicos, como la banca, las
Despliegue telecomunicaciones o la aeronáutica.

C.D.G. - 15
 HERRAMIENTAS DEVSECOPS

5.3.- MITIGACIÓN DE RIESGOS.

mpresas individuales que han intentado resolver este desafío, como
Sun Microsystems, han desaparecido por el alto riesgo que implica una
inversión de estas características: el umbral hasta lograr un producto viable
comercialmente es muy alto, es fácil quedarse en el camino. Se trata de datos
críticos de negocio, con una natural inercia al cambio.
al vez sea este el motivo por el cual la inversión actual se dirige a
establecer distintos parques temáticos donde la publicidad masiva garantiza
retorno rápido a la inversión, en detrimento de inversiones en el legítimo uso
de la computación, que no es otro más que aliviar las tareas administrativas.
e torna vital, pues, localizar una metodología que sortee todas las
dificultades que entraña la producción de esta vital maquinaria. Un riesgo
similar al que asumió IBM a la hora de miniaturizar los primeros ordenadores,
pero que le otorgó un 90% de penetración de mercado.
ara este caso, se parte de una base ya establecida: el sistema de
normas elaborado por el Departamento de Defensa de Estados Unidos para
todas sus factorías de aplicaciones (Cloud One y Platform One). La superficie
de investigación es mucho menor respecto al caso de IBM y existen sectores
económicos que se ven abocados a seguir el mismo camino que las Fuerzas
Aéreas de Defensa de Estados Unidos, por motivos de seguridad nacional.
ocalizar una metodología que mitigue los riesgos implica analizar el
punto de vista de cada agente involucrado en este proceso productivo:
➢ Operadores de centros de datos – Las necesidades: debido a
responsabilizarse de datos críticos de negocio, solo invertirán en
adoptar nuevos sistemas si presentan ventajas muy contundentes que
compensen el esfuerzo de la adopción. Tal vez un proceso abierto
(similar al Java Community Process) sobre una infraestructura piloto,
donde las operadoras puedan evaluar los prototipos además de
manifestar sus necesidades para la mejora de los mismos, pueda
agilizar los tiempos de aceptación de producto.
➢ Ecosistema de fabricación – Los intereses: la computación es un
sector reciente, sin consolidar, como las telecomunicaciones o la
aeronáutica. En otras palabras, no hay una tradición de coordinación,
no existe un modelo que garantice beneficios superiores por el hecho
de cooperar que trabajando en competición. Tan solo sectores
industrializados y obligados a una modernización radical de su
infraestructura de computación pueden ser un punto de partida hacia
una futura diversificación y miniaturización de esos centros de datos, la
única vía efectiva para su democratización.
➢ Instituciones de normalización – Los costes: las operadoras de
centros de datos padecen una determinada sintomatología. Sin
embargo, sólo una visión de conjunto de todo el sistema productivo es
capaz de diagnosticar las causas de esos síntomas de manera certera,
lo que se traduce en minimizar los costes de resolución de las
necesidades planteadas, garantizando viabilidad futura a todo el
proceso productivo. Una financiación pública da la estabilidad necesaria
a este proceso de normalización de la estructura, reduciendo los riesgos
de una falta de modelo de gobierno.

C.D.G. - 16
 HERRAMIENTAS DEVSECOPS

6.- BIBLIOGRAFÍA.

ESTADO DEL ARTE

IBM Secure Software Factory http://redhatgov.io/workshops/secure_software_factory/
Thomal Erl, SOA: Analysis and Design https://www.arcitura.com/books/
for Services and Microservices
Universal Networking Fabric, Lista https://en.wikipedia.org/wiki/List_of_SDN_controller_software
Controladores SDN
MuleSoft Microservices https://youtu.be/SouNISAnXlo
Cloud LandScape https://landscape.cncf.io/
IDC, Cloud Centric Infrastructures https://info.idc.com/cloud-centric-digital-infrastructure-
infographic.html
David Cheriton: Arista/Apstra OS https://youtu.be/LA_LEdV8Cq4
Nokia, The Universal Networking https://onestore.nokia.com/asset/212701
Fabric
Dimitri Stiliadis, arquitecto Nokia https://youtu.be/O7UrGrjnYV4?t=88
Nuage Networks
Arquitectura Microservicios https://youtu.be/j6ow-UemzBc

RETOS QUE ENFRENTAR

Stanford, estrategias para la http://web.stanford.edu/class/cs349d/
nube
Stanford, Zero Trust https://youtu.be/ooAPzzYkyaE?t=3593
Discussion
VM Ware, Rawlinson Ribera, https://youtu.be/dFySwm2bKTg?t=220
Fragmentación Datos
EUROPA, PROBLEMA SOBERANÍA DIGITAL
GAIA-X https://www.data-infrastructure.eu/GAIAX/Navigation/EN/Home/home.html
Oliver Wyman https://www.expansion.com/economia-
digital/2020/11/22/5fba2e48e5fdea66688b458c.html
PROYECTOS DE REFERENCIA
Data-Center OS https://cs.stanford.edu/~matei/papers/2011/hotcloud_datacenter_os.pdf
Platform One, Air Force https://p1.dso.mil/#/
Karl Isenberg, D2IQ https://www.youtube.com/watch?v=qku6ilFG5RM
Java Community Process https://www.jcp.org/en/home/index

TELCO CLOUD
OSM ETSI https://osm.etsi.org
OPNFV Pharos Lab https://www.opnfv.org/community/projects/pharos
Enterprise Cloud https://jwcn-eurasipjournals.springeropen.com/articles/10.1186/s13638-019-1493-2
Simulation
LÍNEAS DE INVESTIGACIÓN
Single Unix Specification https://es.wikipedia.org/wiki/Single_Unix_Specification
Constellation System https://en.wikipedia.org/wiki/Sun_Constellation_System
INCOSE, International Council https://www.incose.org/
for Systems Engineering

C.D.G. - 17