Mitos de la Seguridad Cloud #4: Centrarse solo en el código de la aplicación es suficiente para proteger la aplicación nativa en la nube

Mitos de la Seguridad Cloud #4: Centrarse solo en el código de la aplicación es suficiente para proteger la aplicación nativa en la nube
Tabla de contenidos

Es importante comprobar si el código de la aplicación presenta errores, tanto si se trata de uno personalizado en un lenguaje propio como de otro ensamblado a partir de múltiples bibliotecas de código abierto. Las tecnologías como SAST, DAST, SCA e IAST tienen un propósito y existen por una buena razón, pero hay más opciones a la hora de proteger una aplicación nativa en la nube más allá de desplazar el testeo a la izquierda e implementar código seguro (en los Mitos 5 y 6 hablaremos sobre la importancia de «desplazar el testeo a la izquierda»).

Ejemplos en los que centrarse solo en el código de la aplicación NO FUE suficiente

Por ejemplo, el mejor código del mundo no protegerá contra un caso en el que, durante el tiempo de ejecución, las imágenes, que deberían ser inmutables y no cambiar nunca en la fase de producción, comienzan a ejecutar comandos que no estaban incluidos en la imagen base (Ver Mito 5). El código tampoco evitará las configuraciones erróneas del orquestador como, por ejemplo, no desactivar el acceso anónimo al servidor API de K8s, lo que podría permitir a un atacante tomar el control de todo un clúster y un conjunto de nodos. Y tampoco protegerá contra las desconfiguraciones de las cuentas en la nube que pueden dejar servicios enteros abiertos a los atacantes, como cuando la CPU se estaba utilizando para minar criptomonedas porque su consola administrativa de Kubernetes no estaba protegida con contraseña.

Desplazar el testeo a la izquierda, como veremos en el Mito 5, es un concepto clave y supone un cambio de mentalidad para los equipos de seguridad que protegen las aplicaciones nativas en la nube, pero estos equipos deben seguir estableciendo medidas de control en la compilación, la infraestructura y las cargas de trabajo.

Compartir entrada en:

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on email

Contacto rápido

Responsable: davincigroup.es

Finalidad de la recogida y tratamiento de los datos personales: gestionar la solicitud que realizar en este formulario de contacto.

Derechos: Puedes ejercer tus derechos de acceso, rectificación, limitación y eliminar los datos en info@davincigroup.es así como el derecho a presentar una reclamación ante una autoridad de control.

Información adicional: en la política de privacidad de davincigroup.es encontrarás información adicional sobre la recopilación y el uso de tu información personal.

Solicitar más información

Responsable: davincigroup.es

Finalidad de la recogida y tratamiento de los datos personales: gestionar la solicitud que realizar en este formulario de contacto.

Derechos: Puedes ejercer tus derechos de acceso, rectificación, limitación y eliminar los datos en info@davincigroup.es así como el derecho a presentar una reclamación ante una autoridad de control.

Información adicional: en la política de privacidad de davincigroup.es encontrarás información adicional sobre la recopilación y el uso de tu información personal.