Integrar controles de seguridad a un CI/CD (Integración Continua / Despliegue Continuo) desplegado en modelo IaaS en el proveedor de servicios Amazon Web Services, que permita el diseño, desarrollo y puesta en producción de microservicios con una plataforma de orquestación de contenedores Kubernetes garantizando la confidencialidad, integridad y disponibilidad de la información.

En este contexto, se identificarán las tecnologías y herramientas más reconocidas y utilizadas, y sobre éstas, se identifican en la literatura las amenazas más comunes, brindando un marco de trabajo para identificar inicialmente los componentes de seguridad que son integrados e implementados bajo un prototipo que permita automatizar los controles requeridos para mitigar los riesgos originados por las vulnerabilidades inherentes al modelo de despliegue y que pueden ser explotados por amenazas desde los cuatro vectores analizados en este proyecto los cuales son: aplicación ataca contenedor, contenedor ataca contenedor, contenedor ataca host, y host ataca contendor.

Como resultado del proceso de identificación de las herramientas, amenazas, vectores, riesgos e impacto, se integrarontres componentes especificos y una variación de despliegue al flujo de integración y despliegue continuo.

SonarQube es una herramienta de inspección y análisis estático de código enfocada en calidad de código y seguridad. Ha sido seleccionada dentro del marco de este proyecto debido a su creciente popularidad, el apoyo y soporte por parte de la comunidad OWASP y su capacidad de integración con Jenkins a través de complementos (plugins).

Aqua Microscanner

Aqua Security es una organización con un enfoque estricto en la implementación de herramientas de seguridad basadas en servicios contenerizados y aplicaciones nativas de nube. La herramienta Microscanner de uso gratuito permite analizar las imágenes de contenedores construidas durante el proceso de despliegue en búsqueda de vulnerabilidades a nivel de los binarios cargados en la imagen, así como los paquetes del sistema operativo del contendor.

Anchore Engine es una herramienta de código abierto que permite el análisis estático y el cumplimiento basado en políticas que automatiza la inspección, análisis y evaluación de imágenes en contra de la configuración definida por el usuario.

OWASP ZAP

ZAP (Zed Attack Proxy) es una de las herramientas de seguridad open source más populares en la actualidad. Permite el escaneo de vulnerabilidades en las aplicaciones web desarrolladas en tiempo real de forma automática y, gracias a su excelente nivel de adopción, cuenta con el respectivo complemento (plugin) de integración con Jenkins.

Despliegue Canario: permite realizar un despliegue en contexto diferente al final el cual será utilizado para realizar pruebas adicionales que incluyen escaneo de vulerabilidades pruebas de humo etc. Este modelo de despliegue permite realizar un paso final antes del reemplazo completo en producción de la nueva aplicación.

Lo anterio es integrado en un prototipo de flujo de integración y despliegue continuo orquestado por el servidor de automatización Jenkins y documentado a través de manuales de despliegue y configuración.