Actualidad

Fallos en las plantillas de IaC ponen en peligro las infraestructuras cloud

Un estudio pone de manifiesto que la incorrecta configuración de un alto porcentaje de plantillas de IaC (Infraestructura como código) en implementaciones cloud las hace vulnerables a ciberataques.

De acuerdo con el estudio llevado a cabo por investigadores de Palo Alto Networks, las plantillas de IaC contienen opciones de configuración inseguras y su uso puede generar serias vulnerabilidades. Esto pone en riesgo la infraestructura cloud implementada por IaC y los datos que contiene.

Además, se trata de algo que puede afectar a cada vez más organizaciones ya que, ante la necesidad de realizar rápidas implementaciones de infraestructura para satisfacer las cambiantes necesidades, la configuración de nuevos servidores y nodos está completamente automatizada. Para ello cada vez más se apuesta por el uso de archivos de definición legibles por máquinas, o plantillas, como parte de un proceso conocido como infraestructura como código (IaC, de su denominación en inglés).

El 65% de los incidentes en la nube se debieron a configuraciones incorrectas

De acuerdo con el análisis realizado por Palo Alto Networks, el 65% de los incidentes en la nube se debieron a configuraciones incorrectas de los clientes. Sin plantillas de IaC seguras desde el principio, los entornos en la nube están expuestos a ataques.

Además, también apuntan que la mitad de las implementaciones de infraestructura que usan plantillas AWS CloudFormation tendrán una configuración insegura. El informe desglosa aún más por tipo de servicio AWS afectado: Amazon Elastic Compute Cloud (Amazon EC2), Amazon Relational Database Service (RDS), Amazon Simple Storage Service (Amazon S3) o Amazon Elastic Container Service (Amazon ECS).

DevOps, clave para la seguridad

Las plantillas Terraform, que admiten múltiples proveedores y tecnologías en la nube, no tuvieron mejores resultados y los archivos Kubernetes YAML obtuvieron la menor incidencia de configuraciones inseguras, pero las que lo hicieron fueron significativas.

De los archivos YAML inseguros encontrados, el 26% tenía configuraciones de Kubernetes que se ejecutaban como root o con cuentas privilegiadas.
Para los expertos, esto implica que el uso de plantillas IaC en procesos de implementación de infraestructura automatizada sin verificarlas primero es un gran factor que contribuye a las debilidades de la nube.

Incorporar estándares de seguridad es clave para garantizar las implementaciones de IaC

Los atacantes están utilizando estos errores de configuración predeterminados implementados por plantillas de configuración de IaC débiles o inseguras, evitando firewalls o grupos de seguridad y exponiendo el entorno de la nube de las empresas a los atacantes.

Trabajar con los equipos de DevOps para incorporar sus estándares de seguridad en las plantillas de IaC se erige como clave para garantizar la seguridad y que las implementaciones con IaC sean óptimas.

Imagen inicial | Mika Baumeister