Mejores practicas en Infraestructura como Codigo (IaC)

Para realizar este post, contamos con el aporte de Santiago D. quien tiene mas de 12 años de experiencia laboral en departamentos de Arquitectura y Desarrollo de TI de grandes corporaciones.
Es Especialita técnico en Arquitectura, Diseñador y Desarrollador de aplicaciones móviles, web, de nivel medio (API) y backend.

Anteriormente participó con nosotros en el post referido a “Factores Claves en la Seguridad del Metaverso”.

Santiago D. aborda un tema muy interesante relacionadas con “Mejores Prácticas en infraestructura como Código (IaC)”.

La infraestructura procesos de adquisición, infraestructura física, largos tiempos de espera y racks de servidores. Incluso con la llegada de la computación en la nube, los métodos iniciales de administración de la infraestructura implicaron el ingreso manualmente a la consola del proveedor de servicios en la nube y crear instancias de la infraestructura directamente. Este enfoque es ineficiente, propenso a errores y no crece cuando se trata de ambientes empresariales en la nube.

La IaC cambia este paradigma al permitir la codificación y la gestión programática de la infraestructura, al igual que lo haría con el código de aplicación tradicional. Esto significa que puede utilizar prácticas como el control del código fuente, control de las versiones, reutilización, portabilidad, detección de desviaciones y automatización.

Las versiones populares de la IaC incluyen sabores específicos de CSP de IaC, como Cloudformation de AWS o Blueprints de Azure.También existen opciones de IaC populares de terceros, siendo HashiCorp de Terraform la más popular, con más de 100 millones de descargas. Los beneficios de una IaC de terceros es que se puede utilizar en varios ambientes de CSP.

Con la facilidad y la velocidad viene el riesgo, para todos los beneficios de la IaC, existen peligros que debe conocer para evitar la introducción de riesgos innecesarios en sus ambientes de nube. El abastecimiento rápido de plantillas de IaC, implica la introducción potencialmente rápida de configuraciones inseguras y riesgos en las empresas. Lo mismo puede decirse del aprovechamiento de las plantillas de IaC disponibles públicamente. Estas plantillas pueden contener, y a menudo contienen, desviaciones de las mejores prácticas de seguridad o configuraciones inseguras.

Existen muchas herramientas de escaneo de IaC para explorar. Algunas de las opciones populares de código abierto incluyen a Terrascan, Checkov, y TFLint. Cada uno puede escanear las plantillas de la infraestructura de la nube contra miles de políticas alineadas con una multitud de marcos de cumplimiento para detectar tanto las infracciones de cumplimiento como las configuraciones inseguras que introducen vulnerabilidades.

Dado que la IaC se usa de la misma manera que otros mecanismos de código, puede integrarse en estructuras y flujos de trabajo similares. Esto significa que puede almacenarse en repositorios de administración de código fuente (SCM, por sus siglas en inglés), integrarse en pipelines de integración continua/implementación continua (CI/CD) y escanearse en tiempo de ejecución.

Las organizaciones pueden comenzar el camino de la implementación de la gobernanza de la IaC determinando elementos como qué formas de IaC se están utilizando en su ambiente, quién, dónde y cómo se crean, almacenan y ejecutan estas plantillas. Luego, los equipos de seguridad pueden comenzar a introducir algo de rigor utilizando herramientas, como las mencionadas anteriormente, para comenzar a integrarse en los flujos de trabajo existentes, descubriendo vulnerabilidades y desviaciones de cumplimiento, y brindando retroalimentación rápida para las remediaciones a los autores de la IaC.

Como ocurre con todo lo relacionado con la seguridad, es importante integrarse con los métodos y flujos de trabajo existentes para evitar convertirse en un cuello de botella. Deseará introducir una fricción “saludable” en los flujos de trabajo de los desarrolladores para asegurarse de que la productividad no se vea afectada innecesariamente por vulnerabilidades y se aborden los problemas de cumplimiento, al tiempo que permite que los equipos operen a una velocidad de relevancia para las partes interesadas y los clientes.

A medida que las organizaciones adoptan cada vez más la computación en la nube, cambian a enfoques de DevOps/DevSecOps y buscan aumentar la velocidad y las capacidades dinámicas, la adopción de la IaC seguirá aumentando. Si la seguridad aprovecha las prácticas y herramientas analizadas, pueden ayudar a facilitar esta adopción de forma segura, al tiempo que garantizan que su organización no introduzca rápidamente riesgos injustificados e incluso la explotación de los ambientes de nube.