El WAF de última generación de Fastly, la mejor herramienta para proteger los secretos de GitGuardian

Cuando se trata de analizar la seguridad del código y detectar secretos de la forma más fiable, GitGuardian aúna una gran pericia con capacidades de análisis dignas de Sherlock Holmes. Sus funcionalidades de análisis, detección y corrección en tiempo real permiten a los equipos de desarrollo, seguridad y operaciones mantener información sensible como claves de API, contraseñas, certificados y claves de cifrado fuera del código fuente, lo cual acaba ahorrando tiempo, dinero y trabajo administrativo.

GitGuardian ha crecido de forma significativa, con más de 3000 millones de confirmaciones analizadas y enviadas a repositorios públicos de GitHub desde 2017, pero el aumento en el número de usuarios puso de manifiesto las limitaciones de la rígida solución de WAF con la que contaban. La gran proporción de falsos positivos de ese WAF antiguo causaba problemas en la aplicación y ponía en jaque la experiencia de uso, lo cual animó al equipo a intentar encontrar la solución adecuada cuanto antes.

Unas excepciones inaceptables

GitGuardian eligió su anterior WAF basado en la nube porque era fácil de integrar con su plataforma de SaaS, pero, sin querer, bloqueaba mensajes de la aplicación que contenían código de desarrolladores e ingenieros, así como webhooks automatizados provenientes de sistemas de clientes. Para mitigar este problema, hubo que introducir excepciones para unas 100 reglas, o aproximadamente, el 10 % del número total de puntos de conexión. Cuando en 2022 el equipo decidió trasladar las aplicaciones a Kubernetes, quedó claro que migrar el WAF existente conllevaría mucho trabajo de ingeniería, lo cual parecía excesivo para una solución que no había dado suficientes muestras de fiabilidad. Así pues, GitGuardian se dispuso a buscar un WAF nuevo y funcional que cumpliera con los siguientes requisitos:

• 
  

  El WAF debía detectar y bloquear ataques de forma efectiva, contar con autoalojamiento y ofrecer una alta disponibilidad.

  
  


• 
  

  Las reglas del WAF debían estar escritas en un lenguaje de infraestructura como código (IAC) para que el personal de desarrollo pudiera sugerir cambios y el de seguridad pudiera revisarlos con facilidad.

  
  


• 
  

  Los registros de WAF debían poder exportarse a Elastic y correlacionarse con otros registros utilizando el identificador de petición generado por el WAF.

  
  


• 
  

  El WAF debía estar alojado en Kubernetes, los cambios en reglas y sistemas debían poder automatizarse y también tenía que ser muy fácil de desplegar, con un máximo de cuatro días laborables para la configuración inicial.

  
  


• 
  

  Por último, el proveedor del WAF debía inspirar confianza, lo cual es fundamental cuando trabajas en el ámbito de la seguridad y los secretos.

  
  

El WAF de última generación de Fastly superó a la competencia al cumplir con estos y otros requisitos, pero seguía existiendo el interrogante de si el rendimiento real sería tan impresionante como parecía en teoría.

Estabilidad y confianza

Con el WAF de última generación de Fastly, no hace falta establecer excepciones, lo cual es un gran alivio para GitGuardian: la inteligencia de SmartParse entiende que los fragmentos de código que se van enviando para analizar solo son muestras, no cargas útiles maliciosas. Asimismo, la solución también aporta un escudo impenetrable a ataques reales. GitGuardian ha creado paneles personalizados que envían alertas instantáneas cuando se produce un pico de tráfico malicioso, lo cual genera una gran visibilidad y supervisión que, combinada con la rápida detección y bloqueo de amenazas, permite al equipo dedicarse a sus tareas con total tranquilidad.

En cualquier caso, la principal ventaja que aporta el WAF de última generación de Fastly a GitGuardian es la fiabilidad, ya que llega a desplegarse sin trabas en los cuatro entornos de GitGuardian: el entorno aislado, el de ensayo, el de preproducción y el de producción. En lugar de lidiar manualmente con las nuevas reglas en los cuatro entornos, el equipo puede aprovechar la automatización de la infraestructura como código para desplegar los cambios de forma secuencial. Así, los flujos de trabajo pasan por las debidas pruebas antes de que se lleve cualquier cambio a producción.

Registros y asistencia a la orden del día

Al tratarse de uno de los primeros clientes en desplegarse en un entorno de Kubernetes habilitado con Istio, GitGuardian trabajó mano a mano con Alexander Orlov, Senior Solutions Architect de Fastly, para desarrollar una solución a medida, dado que la documentación estándar no servía para un despliegue tan fuera de lo común. Istio cuenta con sus propios protocolos de redes y toma de decisiones, que a veces dirigen peticiones a distintos contenedores. Si bien esto no afectó a la funcionalidad del cliente y el WAF seguía bloqueando peticiones, sí que planteó dificultades a la hora de generar registros.

Después de trabajar con Fastly para ultimar los detalles más especiales del despliegue, GitGuardian ya ejecuta Fastly en Kubernetes y envía los registros a ElasticSearch y las métricas a Prometheus para después visualizarlas en Grafana. «El equipo de ingeniería y ventas de Fastly fue fantástico», afirma Kayssar Daher de GitGuardian. «Enhorabuena a Alexander por enseñarnos las capacidades del WAF de última generación y ayudarnos a depurar la configuración».

En efecto, con la solución desarrollada a medida para salvar los obstáculos iniciales, Kayssar elogia particularmente la capacidad de generación de registros:

«Estoy muy contento con la creación de registros que hemos terminado teniendo con el WAF de última generación», explica. «Con nuestro actual despliegue, se parece a cualquier otra aplicación que tengamos. Así, ya disponemos de las canalizaciones de registros para llevar los registros del WAF desde donde estén hasta el lago de datos, con el consiguiente ahorro en tiempo de configuración. Los registros de Fastly son muy completos y precisos, y los consulto a menudo».

GitGuardian también pasó tiempo puliendo la canalización de ingesta de registros del WAF para garantizar que estos se pudieran consultar a menudo, fácilmente y con rapidez. GitGuardian trabaja por y para generar confianza y mejorar la seguridad, y al elegir a Fastly para perfeccionar su configuración, demuestra lo lejos que pueden llegar la flexibilidad y los conocimientos técnicos adecuados. Nos alegramos (discretamente) de colaborar con GitGuardian en su misión por salvaguardar secretos en modo sigiloso.