El tema DevSecOps es amplio, consiste en que el equipo de desarrollo, seguridad y operaciones trabajen conjuntamente en ciclos de despliegue continuo, donde se automatizan funciones que necesitan cada uno de estos equipos, como la compilación/build, el provisionamiento y configuración de la infraestructura, pruebas de calidad, pruebas de seguridad, monitoreo, etc.
La recomendación en particular en relacionada a este punto es que adopten en su organización el modo de trabajo con procesos (pipelines) de despliegue continuo, implementando microservicios con baja cohesión, y asegurándose que como parte de ese despliegue se tenga en cuenta la seguridad en distintos aspectos que veremos a continuación:
Si despliegan el código sobre instancias, tomen las siguientes precauciones:
Pueden realizar pruebas de seguridad sobre el Código (Static Application Security Testing), con herramientas como Veracode o Fortify análisis dinámico (DAST) con herramientas como Aqua o Acunetix , el punto clave es que sea realizado como parte de su proceso de despliegue, y que cualquier vulnerabilidad alta o crítica interrumpa el paso a producción.
Mientras antes sean encontradas las vulnerabilidades, más conveniente será para la remediación en el esfuerzo, económicamente, y en tiempos.
También aporta valor que las herramientas verifiquen las librerías open source utilizadas y reporten sus vulnerabilidades.
AWS cuenta con un servicio llamado AWS CodePipeline
que permite la orquestación de estos procesos de despliegue continuos automáticamente. Ejemplo:
##### DevSecOps Workshop https://devops.awssecworkshops.com/
Si conocen alguna vulnerabilidad en una aplicación a desplegar que aún no puede ser corregida (por ejemplo cuando hay una dependencia de un tercero), se puede desplegar como parte del pipeline reglas custom de WAF a incorporar para proteger la aplicación hasta tanto el error de código sea remediado.
Como ejemplo del despliegue de infraestructura de protección como parte del proceso de despliegue continuo (CI/CD) les comparto el siguiente blog (en Inglés) que despliega Web ACLs: How to use CI/CD to deploy and configure AWS security services with Terraform