Arquitectura de seguridad en el desarrollo

En este artículo se describen los pasos para ayudarle a lograr un estado final ideal para la seguridad de desarrollo en su organización.

La arquitectura de seguridad de desarrollo debe integrar estos componentes clave:

• procedimientos recomendados de seguridad
• innovaciones en cultura, herramientas, procesos y tecnología de DevOps
• Infraestructura como código (IaC), para garantizar la coherencia de la implementación

Alinee los procedimientos recomendados y las tecnologías de la seguridad con procesos y flujos de trabajo que hacen operativa la arquitectura de DevOps. Maximice la automatización de las herramientas de análisis de seguridad, los procesos de modelado de amenazas, la administración de la posición de seguridad y otras técnicas de seguridad, junto con su integración con procesos de CI/CD. Establezca roles y responsabilidades claros para los elementos de seguridad.

Coherencia en la implementación de IaC

La automatización de tareas mediante Infraestructura como código (IaC) le ayuda a garantizar que se ejecuten de forma coherente y correcta, y a cumplir los objetivos de eficiencia y seguridad de la organización. IaC permite implementaciones de infraestructura y configuraciones de diseño del entorno repetibles para que pueda administrar, gobernar o admitir varias cargas de trabajo de forma coherente. Trabaje con desarrolladores de IaC para garantizar que la seguridad esté integrada en toda la automatización, y que los procesos de desarrollo y arquitectura de IaC sigan los procedimientos recomendados de seguridad.

Las zonas de aterrizaje de Azure contienen código preexistente y facilitan la labor de los equipos de TI y de seguridad de la organización. Las zonas de aterrizaje de Azure proporcionan un método repetible y predecible para aplicar implementaciones de zonas de aterrizaje basadas en plantillas, con consideraciones en el área de diseño para la seguridad, la administración, la gobernanza y los procesos de automatización o DevOps de la plataforma.

Incluya herramientas de seguridad en la implementación más amplia de la arquitectura de la zona de aterrizaje de Azure, lo que implica:

• Un estado final de arquitectura de destino para la mayoría de las organizaciones
• Un entorno escalado horizontalmente y bien consolidado
• Una amplia gama de procedimientos recomendados de Microsoft para el diseño de los entornos de Azure
• Unos fundamentos sólidos, que permitan que las organizaciones establezcan una mejora continua de la administración, la gobernanza y los procesos de seguridad

Proceso integrado para el desarrollo de la seguridad

La seguridad del código en la nube debe integrarse con los procesos existentes para que sea operativa y confiable a largo plazo. En el diagrama siguiente se muestra un ejemplo de un método de integración de prácticas seguras de desarrollo y operaciones en el proceso de innovación.

El proceso de ejemplo que se muestra en este diagrama es adecuado para las funciones críticas para la empresa, que requieren el nivel más estricto de seguridad (por ejemplo, API y aplicaciones que procesan transacciones financieras o información crítica para la empresa).

Considere la posibilidad de desarrollar versiones más sencillas y simplificadas de este proceso para diferentes casos de uso, como se muestra en el diagrama siguiente:

Identifique los pasos necesarios en los flujos de trabajo de desarrollo, así como los que deben dar las personas y las tecnologías de la organización, para avanzar de la idea a la producción y las operaciones continuas. Identifique también los procesos para realizar cambios, tanto grandes como pequeños, y corregir errores durante el ciclo de vida del desarrollo.

Pasos siguientes

Implementación y operaciones de seguridad en el desarrollo