El papel del código abierto en la seguridad en la nube: un estudio de caso con Terrascan de Tenable
El software de código abierto y la infraestructura nativa de la nube están estrechamente vinculados y pueden desempeñar un papel clave para ayudar a administrar la seguridad. Las herramientas de seguridad de código abierto como Terrascan de Tenable son fáciles de escalar, rentables y se benefician de una comunidad ágil de colaboradores. Echemos un vistazo a cómo puede implementarlo hoy.
Código abierto y nativo de la nube
La Cloud Native Computing Foundation (CNCF), la comunidad de código abierto más grande del mundo y organizadora de eventos internacionales como KubeCon + CloudNativeCon y CloudNativeSecurityCon , se une a la idea de que el código abierto y la democratización de la innovación son las mejores formas de hacer que la nube sea nativa. tecnologías ampliamente disponibles. Como subconjunto de la Fundación Linux , CNCF reúne a miles de desarrolladores y arquitectos de la nube de todo el mundo para crear y mantener cientos de proyectos de código abierto nativos de la nube.
Con la infraestructura de la nube cada vez más compleja, las herramientas de código abierto como Terrascan de Tenable pueden ayudar a garantizar que el código que escriben los desarrolladores para aprovisionar los recursos de la nube sea seguro y cumpla con los estándares de la industria. Al brindar transparencia y flexibilidad, el software de código abierto puede ayudar a las organizaciones a personalizar sus soluciones de seguridad para satisfacer sus necesidades únicas y adaptarse a las amenazas cibernéticas cambiantes.
Muchas empresas están aprovechando estos beneficios. Según el informe “State of Open: The UK in 2021 Phase Three The Values of Open” de Open UK , que encuestó a más de 273 encuestados, la gran mayoría (89 %) utiliza software de código abierto.
Veamos cómo podría funcionar la seguridad en la nube utilizando Terrascan de Tenable como ejemplo.
¿Qué es Terrascan de Tenable?
Terrascan de Tenable es un analizador de código estático que puede detectar violaciones de cumplimiento y seguridad en la infraestructura como código (IaC) para mitigar los riesgos antes de aprovisionar la infraestructura nativa de la nube. Puede escanear muchos tipos de IaC, incluidos Azure Resource Manager, Kubernetes, Docker y Terraform (de ahí el nombre, “Terrascan”).
Debido a que es un analizador de código, Terrascan se puede integrar en muchas herramientas en la tubería de desarrollo. Cuando está integrado, el escaneo de configuración incorrecta se automatiza como parte del proceso de confirmación o construcción. Puede ejecutarse en la computadora portátil de un desarrollador, un administrador de configuración de software (SCM) (p. ej., GitHub) y servidores de integración continua/desarrollo continuo (CI/CD) (p. ej., ArgoCD y Jenkins) o en su navegador con el entorno limitado de Terrascan. Además, también tiene un controlador de admisión incorporado para Kubernetes que ayuda a controlar los nuevos recursos creados en un clúster. Con la integración en los controladores de admisión de Kubernetes, puede evitar que los recursos no seguros ingresen a su entorno de Kubernetes.
Terrascan proporciona la base para el escaneo de códigos y la aplicación de políticas en Tenable Cloud Security , una solución unificada para la gestión de vulnerabilidades y errores de configuración (CSPM). El escaneo de código estático de Terrascan también está integrado en Tenable Nessus, lo que brinda una seguridad integral durante todo el ciclo de vida de la construcción.
Terrascan de Tenable en acción: un estudio de caso
Para ilustrar los beneficios de Terrascan, consideremos un escenario hipotético, basado en experiencias de clientes del mundo real, en el que una empresa está migrando su infraestructura local a la nube. El equipo de DevOps está utilizando Terraform para automatizar el aprovisionamiento de infraestructura, pero el equipo de seguridad está preocupado por posibles problemas de seguridad en el código de la empresa y la propagación de configuraciones incorrectas en el tiempo de ejecución. Debido a esto, tienen que ralentizar a los desarrolladores y asegurarse de que todo el IaC sea seguro a través de rigurosos procesos manuales.
Terrascan escanea el código Terraform de la compañía contra un conjunto de políticas basadas en marcos de la industria, como el Centro para la Seguridad de Internet (CIS) y el Instituto Nacional de Estándares y Tecnología (NIST), e identifica las debilidades en el código de los desarrolladores que podrían permitir acceso no autorizado. acceso al puerto 22 (SSH). Al descubrir el problema en el código, el equipo de seguridad puede requerir que el recurso de la nube solo permita el acceso de shell seguro (SSH) desde una subred específica de enrutamiento entre dominios sin clase (CIDR) que cumpla con sus políticas de seguridad.
Como resultado, los desarrolladores pueden remediar el problema antes de que abandone la estación de trabajo del desarrollador, se envíe a un repositorio de git o se aprovisione en la nube. Han ahorrado tiempo y dolores de cabeza al garantizar que su entorno de nube sea seguro y cumpla con los estándares de la industria y de su equipo de seguridad.
Terrascan tiene más de 500 políticas integradas. Al integrar Terrascan en las canalizaciones de CI/CD, los desarrolladores se aseguran de que su código se escanee en busca de problemas de seguridad en cada etapa del desarrollo. Se aseguran de que solo el código seguro entre en producción.
En resumen, las herramientas de código abierto como Terrascan son una parte importante para garantizar la seguridad en la infraestructura de la nube. Al estandarizar las políticas de seguridad y democratizar el acceso a ellas, la comunidad nativa de la nube puede trabajar en conjunto para identificar y mitigar los riesgos potenciales y, en última instancia, crear un entorno de nube más seguro para todos.
Ayude a construir el futuro de la seguridad nativa en la nube
¿Quieres probar Terrascan? Puede comenzar por revisar Terrascan Sandbox obtenga escaneos ilimitados y asegúrese de que su código no introduzca riesgos innecesarios en sus entornos de nube.
Si está interesado en contribuir con Terrascan y hacer que la seguridad de IaC sea más accesible para personas de todo el mundo, diríjase a nuestra página de GitHub .