Aspectos destacados del caso práctico interactivo

  • 3 minutos

En esta unidad se explora la arquitectura y la información operativa expuestas a través del caso práctico interactivo sobre la aplicación multinube y la posición de seguridad de datos de Fabrikam Inc.. La simulación revela brechas sistémicas comunes en entornos nativos de la nube y proporciona una lente estructurada para que los alumnos analicen y reflejen en ellos.

Evaluación de la situación

Fabrikam Inc. se enfrenta a varios desafíos de seguridad de aplicaciones y datos en su entorno de nube dual (Azure y AWS):

  • Los secretos estáticos de Kubernetes y los tokens de larga duración se usan para la autenticación entre servicios, con rotación manual y visibilidad limitada.
  • Las conexiones de base de datos se basan en puntos de conexión públicos y cadenas de conexión, sin aislamiento de capa de red y controles de acceso sólidos.
  • Las canalizaciones de CI/CD carecen de gobernanza de seguridad centralizada, lo que permite que las configuraciones incorrectas lleguen a producción.
  • La administración de dependencias de código abierto es manual, basándose en la vigilancia del desarrollador sin examen integrado.
  • La supervisión se fragmenta entre herramientas nativas de la nube, con procesos de evaluación de prioridades incoherentes y detección limitada de amenazas.

Estos problemas reflejan las prácticas de seguridad descentralizadas y las brechas de visibilidad que elevan los riesgos en las arquitecturas nativas de la nube.

Análisis de amenazas

Las debilidades operativas se traducen en amenazas tangibles:

  • Exposición de credenciales debido al control manual de secretos y tokens estáticos.
  • Las configuraciones incorrectas en las directivas de infraestructura como código y admisión presentan vulnerabilidades persistentes.
  • La cadena de suministro corre riesgos de dependencias no detectadas y flujos de trabajo de CI/CD no seguros.
  • Exposición de datos de puntos de conexión de base de datos públicos y cifrado insuficiente.
  • Detección de incidentes retrasada debido a la supervisión fragmentada y diagnósticos reactivos.

Estas vulnerabilidades resaltan cómo se pueden aprovechar las prácticas de DevOps y la complejidad nativa de la nube, especialmente en entornos multinube.

Solución arquitectónica

Un marco de DevSecOps alineado con confianza cero mediante herramientas integradas de Microsoft aborda los riesgos de Fabrikam Inc.:

  • Azure Arc amplía la gobernanza y la aplicación de directivas a los clústeres de Amazon EKS.
  • Seguridad avanzada de GitHub y Defender for Cloud DevOps habilitan la seguridad de desplazamiento a la izquierda a través del análisis de código e infraestructura.
  • Las identidades de carga de trabajo reemplazan las credenciales estáticas por tokens de corta duración vinculados a las identidades de pod.
  • Azure Key Vault, Always Encrypted y Azure Private Link refuerzan la protección de datos y la conectividad segura.
  • Microsoft Sentinel correlaciona la telemetría entre canalizaciones, entornos de ejecución y aplicaciones en la nube para la detección unificada de amenazas.

Esta arquitectura enfatiza lo siguiente:

  • Automatización y validación continua
  • Coherencia de directivas entre nubes
  • Telemetría integrada y detección de amenazas

Es escalable, fácil de usar y fácil de usar: abordar directamente la expansión de credenciales, las configuraciones incorrectas, la supervisión fragmentada y el acceso a datos no seguros.