DevSecOps desde el cloud

DevSecOps desde el cloud

Tiempo de lectura estimado: 13 minutos


Esta conferencia magistral pertenece al Módulo 9 “Pentesting” de C1b3rWall Academy 2021/2022. El objetivo de la charla es conocer las ventajas que presenta el DevSecOps y su implicación en la seguridad en la nube, partiendo de AWS. Se explicarán por encima las distintas fases del DevSecOps en la actualidad y hacia dónde se está tendiendo.

DevOps vs DevSecOps

De manera resumida DevSecOps consistiría en introducir la parte de seguridad en DevOps. Esta parte de seguridad influye en todo lo anterior y supervisa a todas las operaciones de DevOps aunque intenta no retrasar los plazos.

SDLC

El SDLC es todo aquella metodología de desarrollo de software. Desarrollar software no solo es programar, existen otras fases cómo revisar los requisitos, modelar amenazas, revisar el diseño y el código, pruebas de penetración… El objetivo es atravesar estos procesos y llegar a la fase de pentesting con las menos vulnerabilidades posibles para no tener que rehacer el código entero. 

 

Amazon Web Services

Junto con Azure, Amazon Web Services es uno de los mayores proveedores que existen actualmente. Cuenta con muchísimos servicios, aunque para nosotros los principales son:

  • Internet Gateway:
  • Application Load Balancer (ALB)
  • Front-end Server (EC2)
  • Back-end Server
  • Amazon RDS (Database)
  • AWS CloudTrall
  • AWS CloudWatch
  • AWS Cloud9
  • AWS CodeCommit
  • AWS CodeBuild
  • AWS CodeDeploy

Threat Modeling

El modelado de amenazas es una actividad en tiempo de diseño que se produce antes de la revisión del código. Las decisiones de diseño tienen que tener en cuenta un número cada vez mayor de casos de uso y se necesita un enfoque sistemático para enumerar las posibles amenazas. El modelado de amenazas está diseñado con el objetivo de encontrar y abordar los problemas en las primeras etapas del proceso de diseño. Tipos de controles de seguridad en el DevSecOps:

  • Modelado de amenazas: encontrar problemas de seguridad en la fase de diseño
  • Análisis de código: auditoría encargada de detectar problemas de seguridad en el código, durante la fase de desarrollo
  • Pentesting: auditoría encargada de detectar problemas de seguridad en la fase de producción teniendo sólo acceso al propio sistema pero sin más información

Para hacerlo, hay que identificar los activos, los actores, los puntos de entrada, los componentes, los casos de uso y los niveles de confianza, e incluirlos en un diagrama de diseño. También hay que identificar una lista de amenazas y por cada amenaza, identificar las mitigaciones, que pueden incluir la implementación de controles de seguridad. Así como crear y revisar una matriz de riesgos para determinar si la amenaza está adecuadamente mitigada. Un ejemplo de arquitectura principal para una aplicación básica en AWS podría ser así:

Algunos de los principales ataques que podemos recibir en nuestro sistema cloud pueden ser:

Para ver los principales vectores de ataque que puede haber utilizamos el modelo STRIDE. Este contempla algunos de los tipos de amenazas más comunes:

  • Suplantación
  • Alteración
  • Repudio
  • Divulgación de la información
  • Denegación de servicios
  • Elevación de privilegios

Conceptos principales a tener en cuenta

A modo de resumen vamos a enumerar algunos de los requisitos de seguridad a tener en cuenta:

  • Evitar el uso de la cuenta "raíz"
  • Asegúrese de que la autenticación de múltiples factores (MFA) esté habilitada para todos los usuarios de usuarios de IAM que tengan una contraseña de consola
  • Asegúrese de que las credenciales no utilizadas durante 90 días o más estén desactivadas
  • Asegúrese de que las claves de acceso se roten cada 90 días o menos
  • Asegúrese de que la política de contraseñas de IAM requiera al menos una letra mayúscula
  • Asegúrese de que la política de contraseñas de IAM requiera al menos una letra minúscula
  • Asegúrese de que la política de contraseñas de IAM requiera al menos un símbolo
  • Asegúrese de que la política de contraseñas de IAM requiera al menos un número
  • Asegúrese de que la política de contraseñas de IAM requiera una longitud mínima de 14 o mayor
  • Asegúrese de que la política de contraseñas de IAM evite la reutilización de contraseñas
  • Asegúrese de que CloudTrail esté habilitado en todas las regiones
  • Asegúrese de que la validación de archivos de registro de CloudTrail esté habilitada
  • Asegúrese de que el cubo de S3 utilizado para almacenar los registros de CloudTrail no es accesible al público
  • Asegúrese que los registros de CloudTrail están integrados con los registros de CloudWatch
  • Asegúrese que AWS Config está habilitado en todas las regiones
  • Asegúrese de que el registro de acceso al cubo S3 esté habilitado en el cubo CloudTrail
  • S3 de CloudTrail
  • Asegurarse de que los registros de CloudTrail están cifrados en reposo utilizando KMS CMKs
  • Asegúrese de que el registro de flujo de la VPC está habilitado en todas las VPCs

Herramientas de análisis

Por hacer mención a algunas herramientas útiles:

  • AWS Trusted Advisor
  • AWS Config
  • Scout 
  • Prowler
  • Security Monkey
  • Cloud Custodian

En la masterclass en vídeo se muestra una escalada de privilegios si no tenemos una adecuada gestión.

Principales servicios de seguridad en AWS

  • AWS WAF
  • AWS Shield
  • Amazon GuardDuty
  • Análisis estático con AWS CodeBuild
  • Gestión de secretos de AWS
  • AWS Key Management
  • Amazon Inspector
  • Gestión de vulnerabilidades

Para evitar amenazas en nuestra arquitectura debemos disponer de una estrategia de copia de seguridad, crear un plan de continuidad del negocio, segmentar y actualizar el entorno tecnológico (segmentar la red con Amazon VPC, aumentar el acceso a recursos con AWS IAM, Amazon Inspector y System Manager Patch Manager) y utilizar una herramienta detección de amenazas. 


¿Todavía no formas parte de C1b3rWall Academy? El contenido es gratuito, únete a otras 30.000 personas desde este enlace.

                   

Si te interesa este tema, puedes consultar la información y cursar el Máster en Ciberseguridad o ver la oferta de másteres desde aquí.


Ponente: Alejandro Rueda Romero

Cuenta con 5 años de experiencia como especialista en threat intelligence, DevSecOps, seguridad de aplicaciones y desarrollo de software, es colaborador en Sec2Crime. Ha impartido clases y charlas sobre ciberseguridad. Actualmente trabaja en Deloitte en Madrid.

¿Cuál es tu reacción?

like

dislike

love

funny

angry

sad

wow

Acción formativa gratuita en ciberseguridad. Web: https://c1b3rwallacademy.usal.es/