Protección de la cadena de suministro en la nube
La seguridad de la cadena de suministro se ha convertido en una prioridad para muchos directivos, puesto que la sucesión de incidentes ha sacado a la luz vulnerabilidades de la cadena de suministro que suponen un importante riesgo para las organizaciones. Problemas de seguridad como los causados por las vulnerabilidades de Log4j y SolarStorm han golpeado a organizaciones de todos los tamaños con riesgos que probablemente ni sabían que corrían. En caso de ataque a la cadena de suministro, una vulnerabilidad en un solo componente de una pila de software puede hacer que toda una organización se vea afectada.
Según un estudio del equipo Unit 42 de Palo Alto Networks, la cadena de suministro en la nube constituye un tipo de riesgo de alto impacto que debería ser motivo de gran preocupación. Nuestro equipo de investigación descubrió que el 63 % del código de terceros utilizado para construir la infraestructura en la nube no es seguro. Entre los riesgos de seguridad se incluyen errores de configuración que exponen a las organizaciones a riesgos, permisos mal asignados y bibliotecas de código vulnerables.
¿Qué es la cadena de suministro en la nube?
La mayoría de las veces, cuando se habla de la cadena de suministro, se piensa en cosas como widgets físicos y bienes que se mueven de un lugar a otro. Lo que muchas organizaciones aún no han entendido es que el movimiento de esos bienes físicos a menudo es posible gracias al uso de aplicaciones que se ejecutan en la nube. Y, si su organización está construyendo sus propias aplicaciones nativas en la nube, tiene una cadena de suministro dentro de otra cadena de suministro.
Las aplicaciones nativas en la nube modernas se construyen y componen en tres pasos de alto nivel. El primer nivel consiste en el aprovisionamiento de la infraestructura en la nube. El segundo paso es contar con un servicio de orquestación de con- tenedores Kubernetes®, la plataforma en la que se implementan las aplicaciones. El tercero consiste en el despliegue de las propias imágenes de contenedor de las aplicaciones. Cualquiera de esas tres capas puede contener errores de configuración o elementos de código vulnerables.
Instalación de listas de materiales de software (SBOM)
Aunque la seguridad de la cadena de suministro en la nube puede resultar compleja, es posible hacerla más sencilla. Con las aplicaciones nativas en la nube, casi siempre se utilizan contenedores, los cuales ayudan a las organizaciones a saber real- mente lo que hay en una aplicación.
Los contenedores, al ser declarativos, simplifican el concepto de lista de materiales de software (SBOM, por sus siglas en inglés). El usuario puede mirar el manifiesto del contenedor y, línea por línea, entender lo que hay dentro.
Las listas de materiales de software van a formar parte cada vez más de la cadena de suministro de software, gracias, en par- te, a la Orden ejecutiva 14028, que impone el uso de listas de materiales de software a los proveedores de la administración estadounidense.
Recomendaciones para proteger la cadena de suministro en la nube
La cadena de suministro en la nube puede ser compleja si se tienen en cuenta todos sus componentes, capas y fuentes. A pesar de su complejidad, es posible gestionar la seguridad de la cadena de suministro en la nube con un enfoque estratégico de cuatro pasos:
Paso 1: Definir la estrategia
Un primer paso fundamental es perfilar una estrategia global para la cadena de suministro en la nube que empiece por tener un enfoque shift-left. El concepto de shift-left (que significa «desplazar a la izquierda» en inglés) consiste en trasladar la seguridad a una fase más temprana del proceso, lo que en ocasiones también se denomina DevSecOps. Tampoco resulta nece- sario que la estrategia se esboce en un documento enorme. Lo que se necesita en un principio es un esquema de la visión, las funciones y las responsabilidades. Y, a partir de ahí, iterar con el tiempo.
Paso 2: Saber dónde y cómo se crea el software
Aquí es donde puede que sea necesario indagar un poco para saber dónde y cómo se crea el software en la organización. En realidad, se trata de observar y documentar cómo llega el software desde el portátil de un desarrollador hasta el entorno de producción en la nube.
Paso 3: Identificar e implementar barreras de protección de calidad
En los procesos de fabricación tradicionales, los controles de calidad llevan mucho tiempo formando parte de las operaciones. Pero, en el caso de las aplicaciones en la nube, no siempre ha sido así. Lo que hace falta es averiguar dónde puede la organiza- ción realizar controles proactivos a lo largo de la línea mientras se crea el software. Unos buenos controles de seguridad deben incluir tanta automatización como sea posible para ayudar a complementar los esfuerzos de revisión manual del código, que no se incrementarán por sí mismos.
Paso 4: Considerar las certificaciones
Aunque los tres primeros pasos consisten en hacer que las aplicaciones que está desarrollando una organización sean seguras, también resulta fundamental validar la seguridad de las aplicaciones y de la infraestructura en la nube que se está utilizando. Para ello, las certificaciones pueden desempeñar un importante papel. Los grandes proveedores de servicios en la nube suelen contar con numerosas certificaciones de terceros. Entre las más comunes se encuentran el SOC 2 Tipo II y la ISO 27001, que identifican el modo en que un proveedor implementa sus propios controles de seguridad y los verifica de forma independiente.
Estas certificaciones son esenciales para entender cómo los proveedores revisan y evalúan sistemáticamente los riesgos. Se trata de algo fundamental, ya que cuando se empieza a ampliar el uso de la nube, el proveedor se convierte en una extensión directa de su empresa.
Los pasos descritos anteriormente ayudan al responsable de la seguridad a llevar a su organización por el buen camino, no solo para trasladar los aspectos relativos a la seguridad a una fase más temprana, sino también para hacer que la seguridad sea sinónimo de desarrollo. Dado que las organizaciones cada vez dependen más de la nube y de las aplicaciones nativas en la nube, ha llegado el momento de implementar una estrategia de seguridad para la cadena de suministro en la nube.