Enable javascript in your browser for better experience. Need to know to enable it? Go here.

Seguridad de confianza cero para CI/CD

Última actualización : Sep 27, 2023
NO EN LA EDICIÓN ACTUAL
Este blip no está en la edición actual del Radar. Si ha aparecido en una de las últimas ediciones, es probable que siga siendo relevante. Si es más antiguo, es posible que ya no sea relevante y que nuestra valoración sea diferente hoy en día. Desgraciadamente, no tenemos el ancho de banda necesario para revisar continuamente los anuncios de ediciones anteriores del Radar. Entender más
Sep 2023
Probar ?

Si no está debidamente asegurada, la infraestructura y las herramientas que ejecutan nuestros pipelines de build y despliegue, pueden convertirse en una gran riesgo. Las pipelines requieren acceso a datos críticos y sistemas como el código fuente, credenciales y secretos para compilar y desplegar software. Esto hace que estos sistemas sean muy atractivos para actores maliciosos. Por lo tanto, recomendamos aplicar seguridad de confianza cero para pipelines CI/CD e infraestructura — confiando en ellas tan poco como sea posible. Esto abarca una serie de técnicas: Si está disponible, autentifica tus pipelines con tu proveedor en la nube a través de mecanismos de identidad federada como OIDC, en lugar de darles acceso directo a los secretos; implementa el principio de mínimo privilegio minimizando el acceso de cuentas individuales de usuario o runners, en lugar de emplear “cuentas de usuario god” con acceso ilimitado; utiliza tus ejecutores de forma efímera en lugar de reutilizarlos, para reducir el riesgo de exponer secretos de trabajos anteriores o ejecutar trabajos en ejecutores comprometidos; mantén el software de tus agentes y ejecutores actualizado; y monitoriza la integridad, confidencialidad y disponibilidad de tus sistemas CI/CD de la misma forma que monitorizarías tu software de producción.

Hemos visto que los equipos se olvidan de este tipo de prácticas, particularmente cuando están acostumbrados a trabajar con infraestructura de CI/CD auto-gestionada en redes internas. Si bien todas estas prácticas son importantes en tus redes internas, estas se vuelven incluso más cruciales cuando se usa un servicio gestionado, ya que amplía el área de ataque y el radio de impacto aún más.

Apr 2023
Evaluar ?

Si no está debidamente asegurada, la infraestructura y las herramientas que ejecutan nuestros pipelines de build y despliegue, pueden convertirse en una gran riesgo. Las pipelines requieren acceso a datos críticos y sistemas como el código fuente, credenciales y secretos para compilar y desplegar software. Esto hace que estos sistemas sean muy atractivos para actores maliciosos. Por lo tanto, recomendamos aplicar seguridad de confianza cero para pipelines CI/CD e infraestructura — confiando en ellas tan poco como sea posible. Esto engloba un conjunto de técnicas: si está disponible, autentifica tus pipelines con el proveedor de cloud mediante mecanismos de identidad federada como OIDC, en vez de darles acceso directo a tus secretos. Implementa el principio de menos privilegios minimizando el acceso de usuarios individuales o cuentas de ejecución, en lugar de usar “cuentas de usuario dios” con acceso ilimitado. Utiliza tus cuentas de ejecutores de forma efímera en vez de reutilizarlos, para reducir el riesgo de exposición de los secretos de ejecuciones pasadas o ejecutar tus trabajos en cuentas comprometidas. Mantén actualizado el software de tus agentes y ejecutores. Monitorea la integridad, confidencialidad y disponibilidad de tus sistemas de CI/CD de la misma forma que monitoreas tu software en producción.

Hemos visto que los equipos se olvidan de este tipo de prácticas, particularmente cuando están acostumbrados a trabajar con infraestructura de CI/CD auto-gestionada en redes internas. Si bien todas estas prácticas son importantes en tus redes internas, estas se vuelven incluso más cruciales cuando se usa un servicio gestionado, ya que amplía el área de ataque y el radio de impacto aún más.

Publicado : Apr 26, 2023

Descarga el PDF

 

 

 

English | Español | Português | 中文

Suscríbete al boletín informativo de Technology Radar

 

 

 

 

Suscríbete ahora

Visita nuestro archivo para leer los volúmenes anteriores