Exención de responsabilidad: Este es un blog invitado enviado por Srinivasa R. Atta y Goutham Bandapati
Seamos sinceros. Durante años, para muchos de nosotros, profesionales de la web,la «seguridad» ha sido un elemento de la lista de control de última hora.
Creas la aplicación, pruebas las funciones y , justo antes del lanzamiento, tienes un leve ataque de pánico. «Ah, claro. Necesitamos seguridad». Así que pones un cortafuegos, instalas un plugin de seguridad, añades un SSL y ya está.
Eso es como construir un rascacielos entero y luego, justo cuando vas a inaugurarlo, contratar a un tipo para que compruebe la cerradura de la puerta principal.
Los principales proveedores de la nube y las empresas se dieron cuenta de que este modelo «atornillado» estaba completamente roto. ¿El resultado? El surgimiento de la Seguridad en la N ube DevSecOps.
Suena como otra intimidante palabra de moda empresarial, pero la idea central es sencilla: La seguridad no es un paso final. Es una responsabilidad compartida, integrada en cada parte del ciclo de vida del desarrollo.
Ya no es sólo «Desarrollo» y «Operaciones». Es «Desarrollo», «Seguridad» y «Operaciones» trabajando juntos, todo el tiempo. Y en la nube, esto ha pasado de ser una bonita idea a una realidad innegociable.
He aquí cómo es esa evolución y cómo puedes aplicar esos mismos conceptos de las grandes ligas a las aplicaciones que ejecutas en Cloudways.
El Gran Cambio: De «guardián» a «barandilla»
El modelo antiguo era una «puerta de seguridad». Terminabas tu código y lo lanzabas por encima del muro a un equipo de seguridad independiente, que pasaba dos semanas probándolo antes de aprobarlo o (más probablemente) rechazarlo. Esto era lento, frustrante y todo el mundo lo odiaba.
El nuevo modelo consiste en barandillas automatizadas. En lugar de una puerta al final, la seguridad es un conjunto de comprobaciones automatizadas que ocurren constantemente.
- ¿Escribiendo código? Una herramienta de tu editor te avisa de una posible vulnerabilidad mientras la escribes.
- ¿Comprometer código? Un proceso automatizado escanea tu código en busca de contraseñas codificadas o permisos con fugas.
- ¿Estás creando tu aplicación? Una herramienta escanea todas tus dependencias (como un plugin de WordPress o una biblioteca PHP) en busca de problemas conocidos.
- ¿Despliegas tu aplicación? La propia plataforma comprueba que tu servidor está configurado correctamente.
El objetivo es desplazar la seguridad «hacia la izquierda», lo antes posible en el proceso (es lo que llaman «Desplazamiento a la izquierda»).
¿Por qué?
Porque arreglar un fallo en tu editor de código lleva 5 minutos. Arreglar ese mismo fallo después de que haya sido desplegado en producción y descubierto por un hacker es un incendio de 5 alarmas.
Cómo gestionan las DevSecOps las «3 grandes» nubes públicas
Para ver esto en acción, basta con mirar las cadenas de herramientas que han construido los hiperescaladores. No venden «una herramienta de seguridad»; venden toda una línea de fábrica de servicios integrados.
1. Servicios web de Amazon (AWS)
AWS proporciona un estrecho bucle de servicios que automatizan toda la canalización «del código a la nube».
- Código: Los desarrolladores escriben código en AWS Cloud9 (su IDE) y lo almacenan en AWS CodeCommit (un repositorio Git privado).
- Crear y probar: AWS CodePipeline detecta una nueva confirmación, toma el código y utiliza AWS CodeBuild para ejecutar las pruebas. Aquí es donde entra en juego «Sec»: CodeBuild puede ejecutar un análisis estático para buscar fallos.
- Despliega: Si los escaneos son correctos, el pipeline despliega la aplicación.
- Monitoriza: Una vez en funcionamiento, Amazon Inspector escanea continuamente la aplicación y el servidor en busca de nuevas vulnerabilidades, mientras que AWS Secrets Manager gestiona todas las claves API y las contraseñas de las bases de datos para que nunca estén codificadas.
2. Microsoft Azure
Azure está decidida a integrar su plataforma en la nube con GitHub, del que es propietaria.
- Código: Un desarrollador envía código a un repositorio de GitHub.
- Construir y probar: Este push activa automáticamente una Acción de GitHub. Este es el caballo de batalla de DevSecOps. El flujo de trabajo puede utilizar GitHub Advanced Security para escanear el código (CodeQL), encontrar vulnerabilidades en las dependencias y comprobar si hay secretos filtrados.
- Despliega: Si se superan los análisis, el mismo flujo de trabajo de la Acción GitHub puede desplegar la aplicación en un Azure App Service.
- Monitoriza: Una vez en marcha, Microsoft Defender para la Nube actúa como el «jefe», supervisando todo -servidores, bases de datos y contenedores- en busca de errores de configuración y amenazas, mientras que Azure Key Vault protege todos los secretos.
3. Plataforma en la nube de Google (GCP)
GCP se centra en asegurar la «cadena de suministro de software», que es una forma elegante de preguntar: «¿Es el código que se ejecuta en producción exactamente el código que crees que es?»
- Código: Un desarrollador utiliza Gemini Code Assist en su IDE, que utiliza IA para detectar fallos de seguridad en tiempo real.
- Construyen y prueban: Se comprometen con Cloud Source Repositories. Esto activa Cloud Build, que construye el código en un entorno temporal seguro y genera un «certificado de nacimiento» para la aplicación (llamado procedencia SLSA). Simultáneamente, el Análisis de Artefactos escanea la aplicación en busca de vulnerabilidades.
- Despliega: Aquí está la magia. Un desarrollador intenta desplegar en Google Kubernetes Engine (GKE). Un servicio llamado Autorización Binaria interviene y dice: «¡Alto! Enséñame tus papeles». Comprueba si hay un «certificado de nacimiento» válido de Cloud Build y un análisis de vulnerabilidades limpio de Artifact Analysis. Si falta alguno de los dos, el despliegue se bloquea automáticamente.
- Monitoriza: El Centro de Mando de Seguridad proporciona un único panel de control de todas las vulnerabilidades, amenazas y configuraciones erróneas de toda la organización.
Traerlo a casa: DevSecOps Práctico en la Nube en Cloudways
«Eso está muy bien para las grandes empresas», estarás pensando, «pero yo soy una pequeña agencia que gestiona una docena de sitios de WordPress en Cloudways. ¿Qué tiene que ver esto conmigo?».
Todo. Puedes aplicar exactamente los mismos principios utilizando las herramientas que Cloudways proporciona y las herramientas de CI/CD que ya utilizas.
DevSecOps en Cloudways es una asociación:
- Cloudways se encarga de la «Seguridad» y las «Operaciones» de la Infraestructura: Cortafuegos a nivel de servidor, parches de seguridad del SO, acceso SSH/SFTP y listas blancas de IP.
- Tú te encargas del «Dev» y el «Sec» de la Aplicación: Tu código, tus plugins, tus temas y tu flujo de trabajo de despliegue.
He aquí cómo puedes construir tu propio pipeline DevSecOps sencillo y práctico.
Caso práctico 1: La implantación segura y automatizada (tu canal CI/CD)
En lugar del viejo método de «codificación vaquera» (editar archivos en vivo a través de SFTP… todos lo hemos hecho), puedes automatizar tu despliegue desde Git.
- Code & Commit (Dev): Arreglas un error en un plugin personalizado de WordPress. Lo pruebas localmente y luego haces git push de tu rama principal a tu repositorio de GitHub (o GitLab/Bitbucket).
- Escanear y probar (Sec): Este push activa automáticamente una Acción de GitHub. Puedes encontrar acciones preconstruidas en el Marketplace que:
- Busca vulnerabilidades PHP.
- Comprueba tus dependencias JavaScript (npm audit).
- Limpia tu código de errores evidentes.
- Despliegue (Operaciones): Aquí está el punto de integración. Sólo si esos escaneos pasan se ejecuta el paso final de tu Acción GitHub. Este paso utiliza la API de Cloudways (a través de una Acción GitHub creada por la comunidad) para activar la función «Despliegue vía Git» en tu servidor. A continuación, tu servidor Cloudways extrae el código limpio y escaneado de tu repositorio.
Acabas de crear una barrera automatizada. Se acabó eso de «uy, he introducido una errata que ha roto el sitio». Si los escaneos automatizados fallan, el despliegue en Cloudways ni siquiera se inicia.
Caso práctico 2: Seguridad de aplicaciones por capas (la parte «operativa»)
El «Ops» en DevSecOps también significa monitorizar y proteger la aplicación en vivo. Cloudways proporciona la seguridad a nivel de servidor, pero tú eres responsable de la capa de aplicación.
- Seguridad Gestionada de Servidores (Cloudways): Cloudways ya hace una gran parte de las «Operaciones» por ti. Sus parches de seguridad regulares significan que el SO subyacente y los paquetes (como PHP y Nginx) se mantienen actualizados, cerrando vulnerabilidades. Se trata de un principio básico de DevSecOps (gestión de vulnerabilidades) que obtienes automáticamente.
- Managed App Security (Cloudways): Utiliza las funciones de seguridad integradas. El complemento Bot Protection (desarrollado por MalCare) es tu cortafuegos a nivel de aplicación (WAF), que bloquea los bots maliciosos incluso antes de que lleguen a tu página de inicio de sesión de WordPress. Echa un vistazo a este vídeo sobre la función Bot Protection de Cloud ways, que es un gran ejemplo de cómo integrar la seguridad directamente en tu plataforma de alojamiento. Un vistazo a la función de protección de bots de Cloudways Este vídeo es un útil recorrido por la función de protección de bots integrada en Cloudways, que es una pieza clave del rompecabezas de «Seguridad» y «Operaciones» del que hablamos.
- Escaneado de vulnerabilidades gestionado (Cloudways): Para los sitios de WordPress, la colaboración Patchstack proporciona escaneado de vulnerabilidades. Te avisa en el panel de Cloudways si un plugin o tema que estás utilizando tiene una vulnerabilidad conocida. Es tu «Inspector Amazon» para WordPress.
- WAF de terceros (Tú): Puedes ir aún más lejos superponiendo un servicio como Sucuri. Cloudways protege el perímetro de tu servidor, mientras que Sucuri protege la «puerta principal» de tu aplicación, ofreciendo reglas WAF avanzadas y limpieza de malware.
La seguridad no es un producto, es un proceso
DevSecOps no consiste en comprar una herramienta mágica. Es un cambio cultural. Se trata de preguntarse «¿Cómo podemos incorporar la seguridad?» en lugar de «¿Cómo podemos atornillar la seguridad?».
Combinando la seguridad gestionada y los activadores de despliegue automatizados de Cloudways con la potencia de los pipelines CI/CD de plataformas como GitHub, puedes dejar de ser un «guardián de la seguridad» y empezar a construir «barandillas de seguridad». Tus clientes estarán más seguros, tus despliegues serán más fluidos y tú dormirás mucho mejor por las noches.
Autores
Abdul Rehman
Abdul es un experto en tecnología, aficionado al café y al marketing creativo al que le encanta estar al día de las últimas actualizaciones de software y aparatos tecnológicos. También es un hábil escritor técnico capaz de explicar conceptos complejos de forma sencilla para un público amplio. Abdul disfruta compartiendo sus conocimientos sobre el sector de la Nube a través de manuales de usuario, documentación y entradas de blog.