Scribd
Cargar
17 vistas6 páginas

Seguridad en DevSecOps

seguridad en DevSecOps:

Cargado por

YEIMY MARIBEL CAC OSORIO
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
17 vistas6 páginas

Seguridad en DevSecOps

seguridad en DevSecOps:

Cargado por

YEIMY MARIBEL CAC OSORIO
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd

3.

seguridad en DevSecOps:
la seguridad en DevSecOps se refiere a la implementación de la seguridad en
el proceso de desarrollo del software y no al final como regularmente en un
proceso de desarrollo que la seguridad se toma como un paso final cuando el
software ya está terminado comienzan las pruebas de seguridad DevSecOps se
encarga de integrar la seguridad en el proceso de desarrollo así evitamos los
gastos de los cambios que se tenían que hacer si la seguridad se toma en
cuenta al final del desarrollo.
Pipeline de CI/CD Seguro: significa una integración y un despliegue
continuos de manera segura esto significa que los controles de seguridad se
aplican en cada fase del proceso del software el objetico de implementar CI/CD
es garantizar que cada cambio en el código que se integre pruebe y despliegue
que se realiza de manera segura, minimizando los riesgos de vulnerabilidades
1. Análisis de código estático (SAST)
El SAST es un proceso de seguridad que nos permite examinar el código
fuente sin ejecutar la aplicación este análisis lo realizamos de forma
automática utilizando herramientas que identifican posibles
vulnerabilidades como sql inyección o fugas de memorias
Justificación
Es importante porque nos permite identificar vulnerabilidades en el
proceso de desarrollo antes de que se despliegue el software esto nos
permite ahorrar costos de corrección mejorando la calidad del código
antes del lanzamiento de la aplicación.
Alcance.
Se puede aplicar a todo el código fuente lo podemos usar en cualquier
lenguaje de programación puede integrarse en los pipeline (CI/CD) y
funciona en aplicaciones nuevas como heredadas.

2. Escaneo de dependencias
este es un proceso que se puede automatizar para revisar todas las
dependencias de una aplicación como las librerías y los componentes de
tercero de la aplicación en busca de vulnerabilidades desconocidas
Justificación
Hoy en día la mayoría d bibliotecas y frameworks son de terceros y si se
encuentra una vulnerabilidad en una de estas bibliotecas puede
comprometer la seguridad de la aplicación por lo que es importante
asegurar estas dependencias ya actualizarlas
Alcance
Abarca todas las dependencias de terceros que utilizamos en la
aplicación ya sean directas o indirectas.
3. Pruebas de seguridad dinámicas (DAST)
Estas pruebas se realizan mientras la aplicación este en ejecución la
intención es simular ataques desde el exterior para identificar
vulnerabilidades explotables en la aplicación.
Justificación
Este proceso es fundamental porque muchas vulnerabilidades solo se
pueden detectar cuando la aplicación está en ejecución y interactuando
con su entorno de usuario visible.
Alcance
Cuando las aplicaciones una vez que se despliegan en entornos de
desarrollo pruebas o producción es eficaz en cualquier software web o
servicios accesible en red.

4. Escaneo de contenedores
Este proceso analiza las imágenes de los contenedores (Doker) en busca
de vulnerabilidades en los sistemas operativos base para ver
configuraciones incorrectas permisos innecesarios o paquetes
desactualizados.
Alcance
Abarca todas las imágenes base como los contenedores personalizados
verificando la seguridad del sistema operativo como la configuración del
entorno de ejecución.

5. Pruebas de penetración automatizadas


Son simulaciones controladas de ataques automáticas para identificar y
explorar vulnerabilidades en un sistema o aplicación
Justificación
Las pruebas de penetración manuales pueden ser costosas y demoradas, al
automatizar algunas partes del proceso permite a los equipos de seguridad
identificar rápidamente fallas críticas que podrían afectar al sistema
Objetivo
Evaluar la resistencia del sistema a los ataques descubriendo posibles
puntos de entrada explotables antes de que lo hagan los atacantes
Alcance
Aplica a todas las capas del sistema desde la red y servidor hasta la misma
aplicación

Gestión segura de secretos


La gestión segura de secretos implica la protección y control de
credenciales, tokens de API, claves de cifrado y otros datos sensibles
utilizados en el desarrollo y operación de aplicaciones. Estos secretos deben
almacenarse y gestionarse de manera segura para evitar filtraciones que
puedan comprometer la infraestructura o los servicios.

Implementar hashiCorp vault para la gestión


centralizada de secretos
HashiCorp Vault centraliza el almacenamiento y acceso a secretos de manera
segura, mediante el uso de políticas y controles de acceso detallados. Vault
protege los secretos a través del cifrado avanzado y se integra con otros
sistemas para facilitar la distribución segura de credenciales. Integrar con el
pipeline de CI/CD para la inyección segura de secretos
La integración con el pipeline de CI/CD permite que los secretos
gestionados por HashiCorp Vault se inyecten automáticamente en las
aplicaciones y servicios a medida que se construyen, prueban y despliegan.
Esta inyección se realiza de forma segura, evitando que los secretos se
expongan en archivos de configuración, registros o variables de entorno.
Justificación:
Los pipelines de CI/CD suelen requerir acceso a credenciales para desplegar
aplicaciones, acceder a bases de datos o interactuar con servicios externos. Si
estos secretos se gestionan manualmente o se almacenan en archivos de
configuración, existe un riesgo elevado de exposición. Integrar HashiCorp Vault
con CI/CD asegura que los secretos se manejen de forma automática y segura,
reduciendo el riesgo de exposición accidental.

Esta integración afecta a todas las etapas del pipeline de CI/CD, desde la fase
de construcción hasta el despliegue en producción. Aplica a cualquier
herramienta de CI/CD, como Jenkins, GitLab CI, Travis CI, o CircleCI, y a
cualquier tipo de entorno, ya sea contenedorizado (Docker/Kubernetes) o
tradicional.

4. protección de datos y privacidad


La protección de datos y privacidad es un enfoque integral que asegura la
confidencialidad, integridad y disponibilidad de la información. haciendo
cumplir normativas como el GDPR este paso implica la adopción de tecnologías
procesos que protejan los datos almacenados como los que se transmiten
justificación
hoy en día todo esta digitalizado y los datos personales y sensibles estan en
riesgo debido a ciberataques o accesos no autorizados asegurar la privacidad
de la información y los usuarios es crucial para el GDPR
Objetivo
Proteger los datos que estan almacenados y en tránsito, garantizar que los
usuarios tengan controlo sobre su información
Alcance
La protección de datos debe cubrir toda la infraestructura ti incluidas bases de
datos y sistemas de almacenamiento comunicaciones de rey y aplicaciones.
Datos en reposo AES-256 para base de datos y
almacenamiento
Es un estándar de cifrado simétrico de alta seguridad utilizado para proteger
los datos almacenados en bases de datos, discos duros, discos etc.
Justificación
Proteger los datos contra accesos no autorizados en caso de que el
almacenamiento sea físico y este comprometido.
Alcance
Asegura todas las bases de datos discos de servidores backups y cualquier otro
medio de almacenamiento

Datos en tránsito: TLS 1.3 para todas las


comunicaciones
es un protocolo de cifrado utilizado para proteger los datos en tránsito TLS1.3
mejora la seguridad con respecto a versiones anteriores garantizando que las
comunicaciones entre servidores, y aplicaciones y usuarios sean privadas y
seguras
Justificación: Los datos en tránsito son vulnerables a ataques de
intermediarios (man-in-the-middle) o interceptaciones. TLS 1.3 asegura que las
comunicaciones sean encriptadas y que solo las partes autorizadas puedan
acceder a la información.

Objetivo: Proteger todas las comunicaciones entre sistemas (API, servidores


web, conexiones de base de datos) para evitar la interceptación o
manipulación de datos.

Alcance: Se aplica a toda comunicación de red, incluyendo tráfico HTTP


(HTTPS), conexiones API, acceso remoto a bases de datos y otros servicios de
red.

Cumplimiento GDPR
El GDPR es un marco regulador de la Unión Europea que busca proteger los
datos personales de los ciudadanos, imponiendo estrictos requisitos sobre la
forma en que las organizaciones recopilan, procesan, almacenan y eliminan
datos. Las organizaciones deben implementar mecanismos que aseguren el
respeto a los derechos de los individuos, como el
Implementar Proceso de Consentimiento Explícito
los usuarios deben dar su consentimiento explícito antes de recopilar procesar
o compartir sus datos personales
esto significa que los usuarios deber entender que al compartir su información
se procesaran de cierta forma que ellos deben aprobar
Justificación
El GDPR dice que los datos solo pueden ser procesados con el consentimiento
explícito del usuario
Alcance
El alcance es toda la información que se almacena de formularios web
aplicaciones móviles entre otros

Desarrollar Capacidades de "Derecho al Olvido"


El derecho al olvido permite a los usuarios solicitar la eliminación de sus
datos personales cuando ya no sean necesarios o cuando retiren su
consentimiento. Las organizaciones deben establecer mecanismos para
procesar y cumplir estas solicitudes de manera efectiva.
Justificación:
El GDPR otorga a los usuarios el derecho a solicitar la eliminación de sus datos
cuando lo consideren necesario. Ignorar esta obligación puede acarrear
sanciones legales.
Objetivo:
Facilitar a los usuarios la eliminación de sus datos de los sistemas de la
organización cuando lo soliciten, garantizando el cumplimiento de sus
derechos.
Alcance:
Aplica a todas las bases de datos y sistemas donde se almacenen datos
personales, y debe involucrar tanto a los sistemas de la organización como a
terceros que gestionen datos en su nombre.

Establecer Procesos de Notificación de Brechas


El GDPR exige que las organizaciones notifiquen a las autoridades competentes
y a los usuarios afectados en caso de una brecha de seguridad que ponga en
riesgo los datos personales. Las notificaciones deben realizarse en un plazo de
72 horas desde que se detecta la brecha.
Justificación:
Las brechas de datos pueden causar un daño significativo a los usuarios si no
se gestionan correctamente. La transparencia y la pronta notificación son
esenciales para minimizar el impacto.
Objetivo:
Establecer un proceso claro y rápido para notificar a los usuarios y autoridades
sobre brechas de datos, de acuerdo con los requisitos del GDPR.
Alcance:
Se aplica a todas las áreas de la organización que manejan datos personales,
incluyendo proveedores de servicios en la nube, sistemas internos y
aplicaciones de terceros.

También podría gustarte