Cómo Atlassian aplica las prácticas recomendadas en su infraestructura en la nube

Casi todas nuestras cuentas de AWS se analizan cada hora y los resultados se notifican al equipo de seguridad. Para permitir que nuestros desarrolladores se muevan rápidamente y eliminen la seguridad como guardián, no nos detuvimos ahí. En su lugar, integramos Cloud One - Conformity con nuestra canalización de vulnerabilidades que archiva tickets de Jira para cualquier hallazgo que descubramos a través de estos análisis. Nuestros desarrolladores viven y respiran a Jira día tras día, así que mostrar esta información aquí es mucho más natural para ellos que tener que buscar estos hallazgos en alguna herramienta de terceros o necesitar seguridad como intermediario.

Cualquiera que haya intentado implementar un escáner de seguridad dentro de una organización sabe que nunca se ha configurado ni olvidado. En su lugar, requieren ajustes para garantizar que solo producen resultados significativos. Cada entorno empresarial es diferente y, especialmente, a escala, existen casos perimetrales que los escáneres no anticiparían. Por ejemplo, nuestra PaaS interna aplica un conjunto de prácticas recomendadas que se han desarrollado en colaboración con el equipo de seguridad. Algunas de las configuraciones que surgen de esto son seguras en este contexto, pero el escáner seguirá informando sobre ellas porque generalmente no lo serían. Como resultado, dedicamos algo de tiempo a perfeccionar el conjunto de reglas que nos importan.

En nuestra primera iteración, decidimos centrarnos en nuestras cuentas de AWS de mayor gravedad. Estas cuentas contienen los datos de nuestros clientes o gestionan nuestra infraestructura, por ejemplo, nuestro CI/CD. Además, redujimos el conjunto inicial de reglas a aquellas que consideramos de alta gravedad. Luego pasamos un tiempo trabajando estrechamente con esos equipos que poseen estas importantes cuentas de AWS para garantizar que todos los hallazgos proporcionen un beneficio de seguridad significativo. Basándonos en estos comentarios, ajustamos la configuración de nuestras reglas para que se adaptara a nuestra organización. Solo para este subconjunto de cuentas y reglas estamos creando tickets de Jira, ya que hemos verificado la calidad de estos hallazgos.

La siguiente iteración ya ha comenzado y está ampliando el alcance de las cuentas que tienen tickets de Jira creados, así como incluyendo más reglas que se están revisando. Finalmente, todas nuestras cuentas de AWS estarán bajo nuestro SLA de seguridad y cada comprobación se habrá revisado y configurado según los detalles de nuestro entorno.

También seguimos trabajando estrechamente con el equipo de Conformity, que responde a nuestros comentarios y soluciona rápidamente cualquier error que descubramos en su producto. Son excelentes a la hora de incluir nuestras solicitudes de funciones en su hoja de ruta y siempre nos mantienen informados cuando el trabajo comienza en cualquier cosa que nos importa. De esta forma, seguimos aumentando el valor que nos proporciona su servicio, lo que se traduce directamente en una postura de seguridad cada vez mayor.

Cuando el investigador de seguridad presentó recientemente  en DEF CON 27, la comunidad aprendió cómo los volúmenes públicos de EBS vulnerables pueden abandonar una empresa, recordando a todos que no solo los cubos de S3 se pueden hacer públicos y contienen información confidencial. Naturalmente, investigamos nuestro propio entorno para estos volúmenes públicos. Dado que Conformity ya estaba analizando activamente todas nuestras cuentas, pudimos realizar una investigación rápida que proporcionó una imagen completa de todos los volúmenes públicos y pudimos confirmar rápidamente que ninguna de ellas contenía información confidencial. Además, recibiremos alertas sobre cualquier volumen futuro que se haga público y podemos asegurarnos de que no estamos exponiendo ninguna información confidencial a través de ellos.

Como un efecto secundario útil, estas exploraciones proporcionan una función de forzado para que los equipos entren en sus propios entornos y limpien los recursos obsoletos restantes de los experimentos de desarrollo. Atlassian permite a nuestros desarrolladores iterar rápidamente, probar nuevas funciones e innovar en nuestros servicios. Como equipo de seguridad, somos responsables de asegurarnos de que estos experimentos se producen en un entorno adecuado y de una manera que no pone en riesgo los datos de los clientes. Parte de esta responsabilidad es asegurarnos de que los recursos no utilizados se limpian y Conformity nos ayuda a lograrlo. Notificamos a los desarrolladores sobre los recursos con configuraciones inseguras y, a veces, los desarrolladores se dan cuenta de que ya no necesitan esos recursos y los eliminan.