Seguridad desde la cadena de suministro de software hasta el edge

Red Hat anunció nuevas innovaciones y capacidades de seguridad en su portfolio de tecnologías de nube híbrida abierta. Diseñadas para ayudar a las organizaciones a mitigar los riesgos y cumplir con los requisitos de compliance en entornos de TI cada vez más complejos que combinan servicios de la nube, sistemas tradicionales y dispositivos edge, estas mejoras están destinadas a minimizar la complejidad, al mismo tiempo que ayudan a los clientes a mejorar su estrategia de seguridad y permitir DevSecOps.

Según el informe Global Tech Outlook 2021 de Red Hat, el 45% de los encuestados sitúan la seguridad informática como su principal prioridad de financiación. Sin embargo, la seguridad informática no es una exigencia que se mantenga estática: los controles normativos, las exigencias de compliance y los ciberatacantes cambian casi a diario, lo que exige una vigilancia casi constante por parte de los equipos de seguridad informática.

Red Hat ha sido durante mucho tiempo líder en seguridad para soluciones empresariales de código abierto, empezando por Red Hat Enterprise Linux, considerando la seguridad como un componente fundamental y no como un añadido. Los analistas de KuppingerCole han reconocido recientemente a Red Hat como líder global en su Brújula de Liderazgo para la seguridad de los contenedores. Según la evaluación de KuppingerCole, «con una presencia masiva en el mercado y una experiencia probada en la gestión de contenedores, mejorada por la reciente adquisición e integración de StackRox, una empresa líder en seguridad de contenedores, Red Hat es reconocida como Líder Global en esta Brújula de Liderazgo».

Con este anuncio, Red Hat continúa su marcha incesante de innovación para avanzar en la seguridad de los entornos de nube híbrida – desde on-premise hasta el multicloud y al edge – en todo el ciclo de vida de la tecnología y las soluciones de software.

Mejorar la seguridad de la cadena de suministro de software

Proteger las aplicaciones desde el desarrollo a lo largo de todo el ciclo de vida puede ser complejo y a menudo requiere que varios componentes trabajen juntos. Para ayudar a simplificar el proceso de implementación de funciones de seguridad a lo largo de todo el proceso de desarrollo, despliegue y ejecución, Red Hat está introduciendo un patrón de seguridad de la cadena de suministro de software.

Entregados a través de Red Hat OpenShift, los patrones proporcionan stacks completos como código y definen, desarrollan y prueban las configuraciones de software necesarias. El patrón de seguridad de la cadena de suministro de software, disponible como preview, reunirá los componentes necesarios para crear aplicaciones nativas de la nube a partir de componentes de confianza.

El patrón utiliza un pipeline nativo de Kubernetes e integrado continuamente a través de Red Hat OpenShift Pipelines y Red Hat OpenShift GitOps para el control de versiones, lo que ayuda a reducir la complejidad y ahorrar tiempo. Además, a través de Tekton Chains, el patrón incorporará Sigstore, un proyecto de código abierto destinado a hacer más accesible la firma criptográfica del código. Esta incorporación facilita que los artefactos se firmen en el propio pipeline en lugar de hacerlo después de la creación de la aplicación.

Además, en Red Hat Ansible Automation Platform 2.2, Red Hat presenta un technical preview de la tecnología de firma de contenido de Ansible. La nueva funcionalidad ayuda a la seguridad de la cadena de suministro de software al permitir a los equipos de automatización validar que el contenido de automatización que se ejecuta en su empresa está verificado y es de confianza.

Mejora del ciclo de vida de la seguridad de las aplicaciones desde el centro de datos hasta el edge

A medida que las organizaciones adoptan arquitecturas nativas de la nube, se mantienen las necesidades básicas de la empresa de contar con entornos reforzados, superficies de ataque reducidas y una detección y respuesta más rápida a las amenazas. Las aplicaciones que se ejecutan fuera de los entornos de TI tradicionales, incluso en el edge, introducen requisitos de seguridad adicionales que agravan estos desafíos ya complejos.

Más allá de los requisitos de seguridad física de los dispositivos edge, los CIO y los responsables de la toma de decisiones de TI ven cada vez más la necesidad de proteger las cargas de trabajo de los contenedores que se ejecutan en estos dispositivos. Un ejemplo podría ser la implementación de estrategias y capacidades para prevenir el movimiento lateral de posibles ataques o brechas a través de los despliegues edge. Red Hat Advanced Cluster Security for Kubernetes ofrece una respuesta lista para el despliegue a estas preocupaciones, con capacidades clave para proteger las cargas de trabajo edge, incluyendo:

● DevSecOps automatizados en la canalización CI/CD para ayudar a proteger la cadena de suministro de software para los entornos de edge a través de la gestión de la vulnerabilidad, el análisis de la configuración de la aplicación y la integración CI/CD

● La protección contra las amenazas proporciona capacidades de detección de las mismas y respuesta a incidentes para las amenazas más comunes durante el tiempo de ejecución

● Segmentación de la red para imponer el aislamiento de la carga de trabajo, analizar la comunicación de los contenedores y detectar las rutas de comunicación de la red que presentan riesgos

La seguridad integrada comienza con el sistema operativo

Según el Board of Directors Survey de Gartner® de 2022, el 88% de los miembros de los consejos de administración clasificaron la ciberseguridad como un riesgo empresarial; sólo el 12% la calificó de riesgo tecnológico. Las amplias ramificaciones de un ciberataque o una filtración de datos han llevado a un mayor escrutinio de los entornos de TI por parte de inversores y reguladores. Fortalecer los entornos de TI contra estos incidentes potencialmente dañinos es fundamental, y Red Hat cree que este esfuerzo comienza en la base, en el nivel del sistema operativo, con Red Hat Enterprise Linux.

Red Hat Enterprise Linux 9 sienta las bases para la verificación de la integridad en tiempo de ejecución del sistema operativo y de los archivos de las aplicaciones al proporcionar firmas digitales de archivos dentro de los paquetes RPM. La plataforma utiliza la arquitectura de medición de la integridad (IMA) a nivel del núcleo para verificar los archivos individuales y su procedencia. La verificación de archivos IMA ayuda específicamente a detectar modificaciones accidentales y malintencionadas en los sistemas, lo que proporciona más capacidades de corrección a los equipos de seguridad a la hora de abordar posibles problemas o infracciones.

Otras características clave de seguridad en Red Hat Enterprise Linux 9 son:

● Mejora de la seguridad en torno a los privilegios de root deshabilitando el inicio de sesión de root a través de SSH por defecto. Esto ayuda a prevenir el descubrimiento de contraseñas de root a través de ataques violentos y a mejorar las estrategias de seguridad básicas de un entorno operativo.

● Compatibilidad con los últimos marcos criptográficos con la integración de OpenSSL 3. Esto permite a los equipos de TI promulgar nuevos cifrados para cifrar y proteger la información sensible.

● Se han reforzado las prácticas recomendadas de seguridad al desactivar por defecto la función hash SHA-1, que se rompe criptográficamente, para la firma digital, con lo que se ha mejorado la higiene de la seguridad.

Además, Red Hat e IBM Research están colaborando en la ampliación de los aspectos básicos de seguridad del kernel de Linux, por ejemplo, mediante la compatibilidad con la firma y la verificación de las firmas digitales de curva elíptica. Este trabajo amplía los algoritmos admitidos y reduce el tamaño de las firmas digitales utilizadas en el núcleo de Linux.

«La seguridad informática no está ligada a una edición de software o a un módulo adicional, sino que debe estar integrada en cualquier tecnología que elija una organización, desde la base del sistema operativo hasta el nivel de las aplicaciones. Las capacidades de seguridad mejoradas en todo el portfolio de nube híbrida de Red Hat pretende ayudar a ofrecer operaciones menos complejas con altos niveles de seguridad, independientemente de dónde opere una organización. Este es el compromiso de Red Hat con el DevSecOps: hacer que la seguridad no sea algo atornillado, sino una parte integral y sin fisuras del movimiento de las aplicaciones desde el desarrollo a la producción para ayudar a los equipos de TI, tanto técnica como orgánicamente», dijo Vincent Danen, vice president, Product Security, Red Hat.