Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Jonathan Rodriguez Paipa

Identidad y acceso en el ciclo de vida de DevSecOps

Por: Dave Meurer



Crédito: Pexels

¡Mayo es el mes de la identidad y el acceso en la serie mensual de seguridad de Red Hat ! A partir de marzo de 2021, el equipo del ecosistema de seguridad de Red Hat ha proporcionado una introducción a un tema de seguridad de DevOps de manera regular para ayudarlo a aprender cómo Red Hat combina DevOps y seguridad para ayudarlo a dominar la fuerza llamada DevSecOps. Explicamos cómo ensamblar los productos de Red Hat y nuestros socios del ecosistema de seguridad para ayudarlo en su viaje hacia la implementación de una solución DevSecOps integral.







Identidad y acceso definidos


Normalmente, cuando se menciona la identidad y el acceso en un contexto de Kubernetes, se trata de IAM o Gestión de identidad y acceso. Estos métodos de seguridad controlan el acceso a los activos, las aplicaciones y los datos locales y en la nube en función de la identidad del usuario o de la aplicación y las políticas definidas administrativamente. Se encuentran en todas las etapas del ciclo de vida de DevOps y pueden ayudar a proteger contra el acceso no autorizado al sistema y el movimiento lateral. Echando un vistazo a los diferentes métodos en Identidad y Acceso, los siguientes se convierten en una lista distinta pero relacionada:


  • La autenticación consiste en verificar la identidad de los usuarios, los servicios y las aplicaciones.

  • La autorización consiste en otorgar a los usuarios autenticados recursos o funciones específicos. En el contexto de Kubernetes, esto se conoce comúnmente como controles de acceso basados ​​en roles (RBAC), que otorgan a grupos de usuarios acceso a recursos o funciones en función de sus responsabilidades laborales, simplifican la administración y la incorporación y reducen la pérdida de privilegios.

  • Almacenamiento seguro de identidades, como bóvedas de secretos y módulos de seguridad de hardware (HSM) , que administran y protegen credenciales de seguridad, claves, certificados y secretos mientras están en reposo y en tránsito. Los HSM suelen ser un dispositivo físico que almacena de forma segura claves digitales mediante cifrado para proteger los datos confidenciales. Las bóvedas de secretos suelen ser una solución de software que almacena y gestiona de forma segura cualquier tipo de secreto, como tokens, contraseñas, certificados y claves de cifrado.

  • Procedencia , que en el contexto de los contenedores, es la capacidad de verificar la identidad o autenticidad del código o una imagen típicamente a través de algún tipo de firma digital o registro de atestación.

Identidad y acceso integrados en DevSecOps


Como se ve en el marco de DevSecOps a continuación, la identidad y el acceso están representados en cada punto de integración en el ciclo de vida. Esto tiene sentido, ya que la identidad debe gestionarse correctamente en cada paso del camino en DevOps.



La tabla detalla algunos, pero no todos, los elementos comunes a considerar para la identidad y el acceso en un ciclo de vida de DevSecOps.


  • AQUÍ: Proporcione de forma centralizada acceso IDE a los desarrolladores y asegúrese de que solo tengan acceso a los proyectos de desarrollo en los que están autorizados a trabajar. Red Hat CodeReady Workspaces utiliza RH-SSO para crear, importar, administrar, eliminar y autenticar usuarios. Puede utilizar sistemas de gestión de identidad de terceros, como una bóveda de secretos, para crear y autenticar usuarios.

  • Gestión de código fuente: Desea asegurarse de que las personas adecuadas tengan acceso a los repositorios de código fuente correctos y solo permitir permisos de confirmación a los contribuyentes de código. En Red Hat OpenShift, los proveedores de identidad como GitHub y GitLab se pueden configurar para acceder a SCM. Secrets Vaults amplía esta capacidad mediante la gestión centralizada de tokens o secretos de acceso SCM.

  • Automatización de la construcción: Los desarrolladores no necesitan acceso de edición al sistema de compilación, ya que las compilaciones deben ejecutarse automáticamente de forma programada o por confirmaciones. Dado que OpenShift Pipelines forma parte de Red Hat OpenShift, las capacidades predeterminadas de RBAC se pueden aprovechar para permitir permisos específicos para los proyectos de la canalización. Las imágenes base se pueden verificar durante las compilaciones para asegurarse de que provienen de repositorios confiables y sus sumas de verificación coinciden con el distribuidor.

  • Repositorio binario: La autenticación y autorización es una consideración clave para la capacidad de los repositorios binarios de organizar o almacenar en caché dependencias de terceros de fuentes externas para evitar que los usuarios utilicen código que no es de confianza en sus aplicaciones.

  • Registro de contenedores: Siga una metodología de confianza cero para fortalecer el acceso al registro de contenedores, ya que es una parte fundamental del ciclo de desarrollo de DevSecOps. Con Red Hat Quay, puede eliminar el acceso anónimo, integrarse con un proveedor de identidad y crear cuentas de robot que permiten permisos específicos específicos para repositorios específicos.

  • Orquestación de contenedores: Además de la autenticación y autorización del usuario para implementar y probar imágenes de contenedores, los permisos de pod son una consideración importante en este paso, especialmente si los pods necesitan hacer referencia a imágenes en todos los proyectos, desde registros seguros o privados. Usar secretos de extracción de imágenes con una bóveda de secretos centralizada es una práctica recomendada.

  • Grupo: Red Hat OpenShift Container Platform proporciona funciones fundamentales de identidad y acceso mediante la integración con proveedores de identidad, la tenencia múltiple con espacios de nombres de proyectos y RBAC activado de forma predeterminada. Además del acceso de los usuarios al clúster, las bóvedas secretas proporcionan funciones esenciales para ejecutar aplicaciones, como el acceso bajo demanda a contraseñas para servicios de aplicaciones como bases de datos. Un HSM se puede utilizar para proteger y almacenar claves criptográficas con hardware estándar de la industria resistente a manipulaciones para que las aplicaciones puedan acceder a datos confidenciales sin tener acceso directo a las claves de cifrado.


Mejore y amplíe la identidad y el acceso con los socios de Red Hat


La combinación de las características de acceso e identidad de Red Hat OpenShift Container Platform con los socios de seguridad del ecosistema certificados de Red Hat proporciona DevSecOps integral y listo para la empresa. Si está buscando mejorar y ampliar las capacidades de seguridad de Red Hat en Identity & Access, eche un vistazo a los siguientes socios de Red Hat:


Fuente: Blog de Red Hat

4 vistas0 comentarios