Buscar

Seguridad de la infraestructura como código (IaC)

Identifique y corrija errores de configuración en Terraform, CloudFormation, ARM, Kubernetes y otras plantillas de IaC.
Solicitar una demostración
Imagen de front-end de la infraestructura como código

La infraestructura como código (IaC, por sus siglas en inglés) permite a los ingenieros implementar infraestructura en la nube, mejorarla y aplicarle el control de versiones con procesos de DevOps. También presenta una oportunidad de mejorar la estrategia de la infraestructura en la nube de manera proactiva y aliviar la carga de trabajo de los equipos de seguridad y operaciones.

La infraestructura nativa en la nube está evolucionando

Para no perder agilidad, las empresas están adoptando nuevos patrones de diseño nativo en la nube y servicios en la nube, entre los que se incluye la infraestructura como código. Sin una seguridad nativa en la nube capaz de entender estas nuevas tecnologías, la adopción aumenta los niveles de riesgo debido a la rapidez con que se realiza. Proteger estas nuevas tecnologías sin entorpecer el trabajo de los desarrolladores resulta fundamental para mejorar la estrategia de seguridad en la nube.

DevOps avanza a toda velocidad

La velocidad a la que cambia DevOps no se mide en meses, sino en días. Y esto es así porque se utilizan, por un lado, metodologías ágiles y, por otro, procesos y herramientas de integración y desarrollo continuos (CI/CD) que maximizan la automatización. Si la seguridad no se integra en estos procesos y herramientas, se queda atrás y rompe el ciclo de publicación, lo cual no es una opción en entornos dinámicos.

La seguridad reactiva es demasiado rígida

Los ciclos de revisión en cascada son incompatibles con los flujos de trabajo ágiles y obligan a los desarrolladores a cambiar de contexto. Además, limitarse a resolver los problemas en el entorno de tiempo de ejecución termina saturando a los equipos de seguridad. Recibir la información a tiempo permite corregir el problema donde y cuando se produce, con lo que los equipos de desarrollo y de seguridad ganan un tiempo valioso.

Seguridad de la infraestructura como código automatizada

Cortex® Cloud analiza las plantillas de IaC en busca de errores de configuración y secretos expuestos en cualquier fase del ciclo de desarrollo, protegiendo así los entornos de desarrollo integrados, las herramientas de integración continua, los repositorios y los entornos de tiempo de ejecución. Gracias a la automatización, Cortex Cloud aplica políticas como código al principio del proceso para evitar implementar problemas de seguridad y para proporcionar correcciones automatizadas.
  • Gobernanza continua para aplicar políticas en el código
  • Se integra en los flujos de trabajo y herramientas de DevOps
  • Automatización de la corrección de errores de configuración a través de solicitudes de incorporación de cambios
  • Con el apoyo de la comunidad
    Con el apoyo de la comunidad
  • Integraciones fáciles de usar para los desarrolladores
    Integraciones fáciles de usar para los desarrolladores
  • Correcciones automatizadas
    Correcciones automatizadas
  • Barreras de protección integradas
    Barreras de protección integradas
  • Guías de cumplimiento normativo
    Guías de cumplimiento normativo
  • Seguridad de los secretos
    Seguridad de los secretos
Solución

Nuestra forma de proteger la IaC

Con el apoyo de la comunidad

IaC Security de Cortex Cloud se basa en el proyecto de código abierto Checkov, una herramienta de política como código descargada millones de veces que comprueba si hay errores de configuración en las plantillas de IaC, como las de Terraform, CloudFormation, Kubernetes, Helm, ARM Templates y Serverless Framework. Los usuarios pueden aprovechar cientos de políticas listas para usar y añadir reglas personalizadas. Cortex Cloud mejora las capacidades de Checkov con funciones empresariales y una experiencia del usuario simplificada.

  • Compruebe si hay errores de configuración en las políticas

    Checkov compara las plantillas de IaC con cientos de políticas listas para usar basadas en guías de referencia como las del CIS, la HIPAA, la PCI y otras comprobaciones proporcionadas por la comunidad.

  • Utilice políticas basadas en el contexto

    Las políticas de Checkov incluyen comprobaciones basadas en bases de datos de grafos que admiten varios niveles de relaciones entre los recursos para políticas complejas, como la definición de unos umbrales de gravedad más altos para los recursos conectados a internet.

  • Amplíe las funciones e integraciones

    Checkov está pensado para poder ampliarse gracias a la capacidad de añadir políticas y etiquetas personalizadas e interfaces de línea de comandos (CLI, por sus siglas en inglés), que se añaden a las herramientas de DevOps, como las de integración continua.

  • Aproveche la integración con Cortex Cloud para ampliar sus funciones

    Cortex Cloud mejora las funciones de código abierto de Checkov para proporcionar un historial de análisis, integraciones adicionales, correcciones automáticas y sugerencias de corrección de Smart Fixes, entre otras cosas.

Con el apoyo de la comunidad

Integrada como parte del ciclo

Implicar a los desarrolladores en la corrección de errores es la forma más rápida de arreglar las cosas. Cortex Cloud proporciona comentarios directamente en las herramientas de DevOps, lo que incluye entornos de desarrollo integrados, herramientas de integración continua y sistemas de control de versiones (IDE, CI y VCS, respectivamente, por sus siglas en inglés).

  • Proporcione comentarios rápidamente durante todo el ciclo de desarrollo

    Cortex Cloud se integra con entornos IDE, herramientas CI y sistemas VCS para ofrecer comentarios y barreras de protección a las herramientas que los desarrolladores ya utilizan.

  • Simplifique las correcciones gracias a los comentarios de revisión de código

    Las integraciones nativas con los sistemas VCS generan comentarios con cada nueva solicitud de incorporación de cambios creada para los problemas de seguridad del código detectados, con el objetivo de facilitar su localización y corrección.

  • Vea todos los problemas de seguridad de IaC en un solo lugar

    Cortex Cloud incluye un panel centralizado que muestra todos los errores de configuración y los secretos expuestos detectados en los repositorios analizados, con la posibilidad de realizar búsquedas con filtros para encontrar bloques de código y sus correspondientes propietarios.

  • Integre las tareas de corrección en los flujos de trabajo de DevOps

    Las integraciones con herramientas de colaboración y sistemas de tickets pueden generar tickets y alertas para avisar a los equipos pertinentes de que tienen que añadir correcciones a las tareas de DevOps.

Infraestructura IaC integrada en el ciclo

Comentarios útiles basados en el contexto

A los desarrolladores, que muchas veces hacen su trabajo lo más rápido posible para cumplir los plazos, les resulta muy frustrante que las políticas se infrinjan sin explicación. Cortex Cloud incluye, además de correcciones automáticas para muchas políticas, directrices para que todas las políticas faciliten instrucciones detalladas para corregir los errores de configuración.

  • Visibilidad y políticas basadas en el contexto

    Cortex Cloud muestra las infracciones de políticas cometidas por los recursos y sus dependencias. Para facilitar la priorización, las políticas pueden clasificarse según el contexto (p. ej., aplicar un nivel de gravedad superior a las infracciones expuestas en internet).

  • Indicaciones prácticas

    Para cada infracción, se ofrecen una serie de directrices útiles sobre el error de configuración e indicaciones para corregirlo.

  • Rastreo de la nube hasta el código para identificar a los propietarios del código y agilizar las correcciones

    Se puede realizar un seguimiento de los recursos en la nube hasta las plantillas de IaC para determinar la persona que modificó el código y encontrar rápidamente el recurso y equipo adecuados de cara a corregir los problemas.

  • Flujos de trabajo de GitOps

    Rastrear los errores de configuración en la nube hasta llegar al código permite corregir en el código los problemas identificados en el tiempo de ejecución para seguir disfrutando de la escalabilidad y auditabilidad características de las plantillas de IaC.

Comentarios útiles basados en el contexto

Aplicación de barreras de protección

Sometidos a la presión de tener que entregar las funciones, a veces los desarrolladores toman atajos. De modo similar, durante un incidente los ingenieros pueden apresurarse a corregir los errores directamente en los entornos en la nube, con lo que las plantillas de IaC dejan de estar sincronizadas. Cree un ciclo maestro seguro para validar la infraestructura como código y aplique las prácticas recomendadas de GitOps mediante el uso de barreras de protección automatizadas.

  • Evite que los problemas graves lleguen a los repositorios y se implementen

    Las integraciones con los flujos de trabajo de DevOps permiten establecer políticas de error no recuperable para que ningún código mal configurado o secreto expuesto acabe en un repositorio o en el proceso de implementación.

  • Defina niveles personalizados para bloquear compilaciones

    Se pueden definir distintos niveles de política de error no recuperable por repositorio, exclusiones por política y supresiones por recurso.

  • Amplíe los conjuntos de políticas con políticas personalizadas

    Añada políticas personalizadas mediante Python, YAML o el editor de políticas de interfaz de usuario para aplicar políticas específicas de la organización, incluidas algunas basadas en el modelo de grafos aplicables a varios recursos.

  • Proporcione información útil sobre las implementaciones fallidas

    Cada análisis incluye una revisión de código con la lista de errores de configuración, guías para corregir el problema y correcciones automáticas para los problemas detectados en las solicitudes de incorporación de cambios.

Añada barreras de protección y prevenga los desvíos en las configuraciones

Otras funciones de seguridad de las aplicaciones

GESTIÓN DE LA ESTRATEGIA DE SEGURIDAD DE LAS APLICACIONES

Mantenga unos sistemas de producción libres de riesgos y corrija los problemas rápidamente en el origen.

Más información

ANÁLISIS DE COMPOSICIÓN DE SOFTWARE (SCA)

Seguridad de código abierto de precisión y basada en el contexto y cumplimiento normativo de las licencias

Más información

SEGURIDAD DE LA CADENA DE SUMINISTRO DE SOFTWARE

Refuerce sus ciclos de CI/CD, reduzca su superficie de ataque y proteja su entorno de desarrollo de aplicaciones.

Más información

SEGURIDAD DE LOS SECRETOS

Análisis de secretos multidimensional de toda la solución en cualquier repositorio y ciclo

Más información

Reciba las últimas novedades, invitaciones a eventos y alertas de amenazas