Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Jonathan Rodriguez Paipa

Cumplimiento de DevSecOps: ¡Facilite el trabajo de su auditor!

Por: Dave Meurer



Crédito: Pexels

¡El cumplimiento es el tema de esta entrada en la serie de seguridad de Red Hat ! En marzo de 2021, el equipo de Red Hat Security Ecosystem comenzó a presentar temas de DevOps Security para ayudarlo a aprender cómo Red Hat entrelaza DevOps y seguridad para dominar la fuerza llamada DevSecOps. Explicamos cómo ensamblar los productos de Red Hat y nuestros socios del ecosistema de seguridad para ayudarlo en su viaje para dominar la implementación de una solución DevSecOps integral.




El cumplimiento puede significar muchas cosas diferentes, pero en esta publicación nos centraremos en el cumplimiento normativo y en qué pensar al intentar auditar y cumplir con los requisitos de cumplimiento dentro de una implementación de Red Hat OpenShift.


Los métodos y tecnologías de cumplimiento lo ayudan a cumplir con las regulaciones gubernamentales y de la industria y las políticas corporativas. Automatizan la validación de cumplimiento y los informes en todo DevOps, lo que lo ayuda a simplificar las auditorías y evitar costosas multas y demandas regulatorias.


Sin embargo, conseguir la seguridad correcta es muy complicado con infinitas áreas de confidencialidad, integridad y disponibilidad. Un número creciente de industrias tienen obligaciones legales o contractuales con respecto al cumplimiento y han creado estándares de la industria.


Los proveedores de software de seguridad han creado herramientas para permitir que los usuarios finales, proveedores de servicios y otros creadores de productos evalúen más fácilmente el cumplimiento de la seguridad frente a todo el marco en lugar de mirar cientos de controles diferentes. Aquí hay una muestra de algunos de los estándares de cumplimiento comunes con los que nos encontramos:


  • El pago de tarjeta de datos estándar de la industria de seguridad (PCI-DSS) aumenta controles alrededor datos de los titulares para reducir el fraude de tarjetas de crédito.

  • ISO / IEC 27001 es un conjunto de normas internacionales sobre el manejo de seguridad de la información a las organizaciones de ayuda a hacer los activos de información que poseen más seguro.

  • EEUU Health Insurance Portability y Accountability Act (HIPAA) es una ley federal de los Estados Unidos para proteger la información sensible de la salud sea divulgada sin el consentimiento del paciente. .

  • Reglamento de Protección de Datos de la Unión Europea general (GDPR) armoniza las leyes nacionales de protección de datos en la Unión Europea para proteger la privacidad de los ciudadanos de la UE ..

  • Las Guías de implementación técnica de seguridad (STIG) son estándares de configuración que consisten en requisitos de ciberseguridad para un producto específico que se usa ampliamente en la industria federal .

  • El Programa Federal de Gestión de Autorizaciones y Riesgos (FedRAMP) es un programa del gobierno de los Estados Unidos para estandarizar las evaluaciones de seguridad, la autorización y el monitoreo continuo de productos y servicios en la nube.



Red Hat DevSecOps Framework (diagrama anterior) incluye dos métodos de cumplimiento: auditoría de cumplimiento y controles técnicos.


auditoría de cumplimiento es una función que normalmente escanea una configuración, contenedor, clúster o sistema que informe si el objeto en cuestión cumple o no. En el marco DevSecOps, "los controles de cumplimiento" Automatización de la armadura con los controles técnicos. Esto puede ayudar a automatizar y hacer posible adoptar medidas adecuadas, o prevenir acciones que resultarían en caso de incumplimiento. A modo de ejemplo, algunos ejemplos concretos de qué artículos son auditadas:


  • La configuración de las implementaciones de disponibilidad de la producción y la seguridad, es decir, requiere etiquetas y envases privilegiados.

  • Configuración de sus Dockerfiles, es decir, los puertos expuestos, y las líneas Dockerfile requeridos.

  • vulnerabilidades conocidas que afectan a las dependencias de imagen y aplicación de base.

  • El análisis de riesgos de los paquetes en las imágenes. Por ejemplo, se evalúa que la inclusión de Nmap en el riesgo se incrementa imágenes.

Por lo general, estos elementos se auditan a lo largo del ciclo de vida dentro de las integraciones en la automatización de compilación, la admisión de contenedores y el clúster en ejecución, como se muestra en esta lista:


  1. Desarrolle auditorías de cumplimiento de automatización: Un punto de integración clave para detectar el incumplimiento es el proceso de creación de la aplicación para ahorrar tiempo y dinero más adelante en el ciclo de vida. Las aplicaciones, las imágenes de contenedores y las configuraciones deben verificarse en esta etapa. Un ejemplo de verificación de cumplimiento en esta etapa es garantizar que la imagen base que se está utilizando se refuerce utilizando los puntos de referencia de CIS.

  2. Auditorías de cumplimiento de Container Orchestration: A medida que las imágenes se prueban y se implementan en clústeres en ejecución, los resultados de la auditoría de cumplimiento deben ser muy similares a los resultados encontrados en la compilación; sin embargo, la tecnología de auditoría de cumplimiento ahora tendrá acceso al clúster y al entorno en ejecución, lo que producirá resultados más contextuales. Por ejemplo, las auditorías ahora pueden analizar el reenvío de puertos y los comandos oc exec en pods. Es importante tener en cuenta que encontrar problemas de cumplimiento al principio de la compilación sigue siendo ideal porque esto reducirá la cantidad de reelaboración necesaria durante la prueba y la implementación.

  3. Controles de cumplimiento de Container Orchestration: Los controles técnicos durante la orquestación de contenedores suelen ser controles de admisión, que pueden alertar o evitar la creación de pod a medida que se implementan las imágenes. Por ejemplo, bloquear contenedores privilegiados es un control de admisión de cumplimiento común.

  4. Auditorías de cumplimiento de clústeres: Los análisis de cumplimiento continuos son fundamentales para elementos no estáticos como vulnerabilidades. Si bien su imagen estaba libre y limpia de vulnerabilidades en el momento de la compilación, el segundo después de su compilación, esos resultados se vuelven obsoletos. Además de las imágenes, los sistemas operativos del clúster, como RHEL CoreOS, deben auditarse continuamente para verificar su cumplimiento.

  5. Controles de cumplimiento de clústeres: Normalmente, los controles técnicos en un clúster en ejecución son del tipo de reparación, ya sean automáticos o manuales. Puede que no sea práctico detener un contenedor en ejecución en producción cuando se encuentra una nueva vulnerabilidad crítica, sino proporcionar las alertas, los registros y cualquier posible mitigación o corrección sugerida a un administrador que pueda escalar una actualización a la imagen del contenedor.


Las guías de refuerzo de Red Hat OpenShift pueden ayudar


En enero de 2021, Red Hat publicó Red Hat OpenShift Container Platform Hardening Guide.Este documento proporciona una guía prescriptiva para establecer una postura de configuración segura para OpenShift 4.5+, y se inspiró en la prueba comparativa CIS Kubernetes v1.6.


Red Hat está trabajando con CIS para publicar un benchmark CIS OpenShift basado en este contenido. La Guía de refuerzo de Red Hat es específicamente para OpenShift, ya que proporciona comandos de auditoría que son específicos de la arquitectura OpenShift. Dado que RHEL CoreOS está diseñado para administrarse como parte del clúster, los comandos de auditoría se escriben utilizando el cliente oc de OpenShift, incluidos los comandos de auditoría que verifican permisos y propiedad del sistema de archivos a nivel de host.


Existen recomendaciones para los componentes principales de Kube, como las configuraciones de los nodos Control y Worker, el servidor API, etcd y kubelet. El siguiente ejemplo muestra parte del contenido que se encuentra en cada recomendación:


Recomendación : Verifique que RBAC esté habilitado

Descripción: active el control de acceso basado en roles.

Justificación: el control de acceso basado en roles (RBAC) permite un control detallado de las operaciones que las diferentes entidades pueden realizar en diferentes objetos del clúster. Se recomienda utilizar el modo de autorización RBAC

Auditoría: OpenShift se configura en el momento del arranque para usar RBAC para autorizar solicitudes ... Para verificar, ejecute los siguientes comandos:

... # For 4.6, verify that the authorization-mode argument includes RBACoc get configmap config -n openshift-kube-apiserver -ojson | jq -r '.data["config.yaml"]' | jq '.apiServerArguments["authorization-mode"]'

Para OCP 4,6 y por encima, compruebe que la autorización-modeargument incluye RBAC.

Remediación: Ninguno. No es posible desactivar RBAC.


Es importante destacar que la mayoría de los ajustes de la guía de endurecimiento están en su lugar por defecto en Red Hat OpenShift. La información de auditoría para estos ajustes se proporciona para que pueda verificar que el administrador del clúster no ha hecho cambios que serían menos seguros que los valores por defecto OpenShift. Un pequeño número de artículos requiere configuración. Por último, hay algunas recomendaciones que requieren decisiones por parte del cliente, tales como el tamaño del registro de auditoría, retención y ajustes relacionados.


Hay una gran cantidad de comandos para ejecutar y analizar, y si bien esta guía proporciona las respuestas en este documento estático, que realmente desee automatizar estos controles y un seguimiento continuo de ellos, que es exactamente lo que los socios de seguridad de Red Hat pueden hacer con sus soluciones.


Top 5 todos para ayudar a pasar su auditoría


Entonces, ¿cómo va a facilitar el trabajo de su auditor y aprobar su primera auditoría? Bueno, Bill Montgomery y Nathan Kinder, un par de gerentes senior de ingeniería de Red Hat, tienen experiencia en completar auditorías de cumplimiento de productos y ofrecen las siguientes funciones para comenzar:


  1. Políticas y procedimientos documentados : la documentación suele ser superior al 50% de una auditoría. La documentación de políticas trata sobre lo que hace para cosas como acceso, control de cambios, copias de seguridad y retención de datos. La documentación del procedimiento es cómo hace las cosas, por ejemplo, cómo busca vulnerabilidades o cómo elimina datos.

  2. Control de cambios: asegúrese de que todos los cambios en la producción sean auditables y sigan el principio de separación de funciones para garantizar que ningún individuo pueda afectar un cambio en la producción actuando solo. GitOps es un proceso que se usa con frecuencia en DevOps y que puede implementar Change Control de manera eficiente y efectiva.

  3. Cifrado en todas partes: todos los marcos de cumplimiento actuales requieren cifrado para los datos en reposo (es decir, en disco) y en tránsito (es decir, comunicaciones de red). Especialmente para el cifrado de red, asegúrese de que los procesos del servidor estén configurados para hacer cumplir la negociación de protocolos de seguridad sólidos (TLS> = 1.2, HSTS).

  4. Gestión de vulnerabilidades: asegúrese de que su proceso de desarrollo esté buscando vulnerabilidades de software de forma temprana y frecuente. Para los contenedores, las vulnerabilidades pueden existir en todas las capas de la pila, incluido el sistema operativo, el clúster, la capa base, cualquier servicio de aplicación agregado para ejecutar su aplicación, como servidores web o dependencias de terceros, y el código personalizado que compone la aplicación. sí mismo.

  5. Monitoreo de seguridad: FedRAMP llama a este conjunto de prácticas "ConMon" o "Monitoreo continuo", que requieren cierta frecuencia y amplitud / profundidad de monitoreo de seguridad. Asegúrese de agregar datos de seguridad de cosas como registros de auditoría, análisis de integridad de archivos y análisis de vulnerabilidades y enviarlos a algún tipo de SIEM . Utilice software para analizar eventos de seguridad y alertar la respuesta a incidentes sobre eventos de auditoría anómalos.


Comenzar con estos cinco elementos puede ayudarlo en gran medida a aprobar su auditoría e impresionar a su auditor.


Sin embargo, asegúrese de seguir todos los requisitos del marco específico para el marco de cumplimiento que está tratando de lograr. Con suerte, brindamos información sobre el cumplimiento de DevSecOps, con algunas cosas clave que debe saber al integrar auditorías de cumplimiento y controles técnicos en el ciclo de vida de su software. Para obtener más información, visite www.red.ht/DevSecOps


Fuente: Blog de Red Hat

5 vistas0 comentarios