Implementación segura en Azure
¿Tiene equipos, procesos y herramientas que puedan implementar rápidamente correcciones de seguridad? Se recomienda un enfoque de DevOps o multidisciplinar. Varios equipos trabajan conjuntamente con herramientas y prácticas eficaces. Las prácticas esenciales de DevOps incluyen la administración de cambios de la carga de trabajo a través de la integración continua y la entrega continua (CI/CD).
La integración continua (CI) es un proceso automatizado en el que los cambios de código desencadenan la compilación y las pruebas de la aplicación. La entrega continua (CD) es un proceso automatizado que consiste en compilar, probar, configurar e implementar la aplicación desde el entorno de compilación al de producción.
Estos procesos le permiten abordar rápidamente los problemas de seguridad sin tener que esperar un ciclo de planeamiento y pruebas más largo.
La creación de un proceso de DevOps que incluye una materia de seguridad ayuda a incorporar conceptos de seguridad y mejoras en las primeras fases del proceso de desarrollo de aplicaciones. La capacidad de una organización para abordar rápidamente los problemas operativos y de seguridad aumenta mediante la combinación del ciclo de vida de desarrollo seguro (SDL) y el ciclo de vida de las operaciones relacionados con la creación, el mantenimiento y las actualizaciones de las aplicaciones.
Muchos modelos operativos de TI tradicionales no son compatibles con la nube y las organizaciones deben someterse a una transformación organizativa y operativa para cumplir los objetivos de migración de la empresa. Se recomienda usar un enfoque de DevOps para los equipos central y de aplicaciones.
Lista de comprobación
¿Ha adoptado un enfoque seguro de DevOps para garantizar que las mejoras de seguridad y características se puedan implementar rápidamente?
- Establezca un equipo de plataforma DevOps interfuncional para compilar, administrar y mantener la carga de trabajo.
- Implique al equipo de seguridad en el planeamiento y el diseño del proceso de DevOps para integrar controles preventivos y de detección de riesgos de seguridad.
- Defina claramente los roles y permisos de CI/CD y minimice el número de personas que tienen acceso a información o recursos seguros.
- Configure las aprobaciones de puertas de calidad en el proceso de versiones de DevOps.
- Integre herramientas de examen en la canalización de CI/CD.
- Ningún cambio en la infraestructura, aprovisionamiento ni configuración se deben realizar manualmente fuera de IaC.
En esta sección
Siga estas preguntas para evaluar la carga de trabajo a un nivel más profundo.
| Evaluación | Descripción |
|---|---|
| ¿Ha definido claramente los roles y permisos de CI/CD para esta carga de trabajo? | Defina permisos de CI/CD para que solo los usuarios responsables de las versiones de producción puedan iniciar el proceso y solo los desarrolladores puedan acceder al código fuente. |
| ¿Hay algún recurso aprovisionado o configurado operativamente con herramientas de usuario, como Azure Portal o a través de la CLI de Azure? | Use siempre la infraestructura como código (IaC) para realizar incluso el menor de los cambios. Este enfoque facilita el seguimiento del código porque la infraestructura aprovisionada es reproducible y reversible. |
| ¿Puede revertir o poner al día el código rápidamente a través de canalizaciones automatizadas? | Las canalizaciones de implementación automatizadas deben permitir poner al día o revertir implementaciones rápidamente para abordar errores críticos y actualizaciones de código fuera del ciclo de vida de implementación normal. |
Azure Security Benchmark
Azure Security Benchmark incluye una recopilación de recomendaciones de seguridad de gran impacto. Úselas para proteger los servicios y los procesos que se usan para ejecutar la carga de trabajo en Azure:
Las preguntas de esta sección están alineadas con el documento Controles de Azure Security Benchmark.
Arquitectura de referencia
Estas son algunas arquitecturas de referencia relacionadas con la creación de canalizaciones de CI/CD:
Paso siguiente
Se recomienda supervisar las actividades que mantienen la posición de seguridad. Estas actividades pueden resaltar si las prácticas de seguridad actuales son eficaces o hay nuevos requisitos.
Vínculo relacionado
Vuelva al artículo principal: Seguridad