Ir al contenido principal
Ver todos los productos
Calcular
Almacenamiento
Bases de datos
Conexión
Herramientas para desarrolladores
Distribución
Seguridad
Servicios
Sectores
Precios
Comunidad
Habla con nosotros
Explorar el blog
Categorías
13
  1. Panorama de la nube
    51
  2. Calcular
    25
  3. Contenedores (Kubernetes, Docker)
    34
  4. Bases de datos
    21
  5. Herramientas para desarrolladores
    41
  6. Linode
    259
  7. Linux
    69
  8. Multicloud
    4
  9. Conexión
    33
  10. Código Abierto
    6
  11. Red de socios
    7
  12. Seguridad
    61
  13. Almacenamiento
    24
Autores 56
  1. Alex Leung 4
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Ari Weil 1
  9. Bradley LaBoon 1
  10. Blair Lyon 9
  11. Billy Thompson 10
  12. Christopher Aker 175
  13. Cassie Bubnis 1
  14. Daniele Polencic 4
  15. David Monschein 2
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Jessica Capuano Mora 5
  23. Justin Cobbett 6
  24. Jon Frederickson 1
  25. Jonathan Hill 2
  26. Justin Mitchel 4
  27. James Steel 5
  28. Jamie Sherkness 8
  29. Linode 68
  30. Linode Events 8
  31. The Linode Security Team 122
  32. The Linode Network & Security Teams 1
  33. LINQ 1
  34. Leslie Salazar 1
  35. Michelle Berg 1
  36. Mitch Donaberger 1
  37. Mike Fischler 1
  38. Mike Maney 10
  39. Maddie Presland 19
  40. Mike Quatrani 4
  41. Nathan Melehan 2
  42. Nigel Poulton 1
  43. Prasoon Pushkar 1
  44. Peter Sari 1
  45. Rick Myers 7
  46. Richard Tubb 1
  47. Sal Carrasco 1
  48. Salman Iqbal 1
  49. Stuart Macleod 1
  50. Shawn Michels 1
  51. Linode Support 14
  52. Tom Asaro 18
  53. Travis Baka 2
  54. Talia Nassi 13
  55. Tim Vereecke 1
  56. Yuri Goldfeld 1
BlogSeguridadSeguridad en su proceso DevOps

Seguridad en su proceso DevOps

Alex Leung
Alex Leung
10 de septiembre de 2024
Una tubería con fugas con el texto "Seguridad en tu tubería DevOps: ¿Su API GraphQL tiene fugas?".

En el desarrollo de software y sus procesos DevOps -desde el diseño hasta el despliegue- la seguridad debe estar en primer plano. Si se deja para después, los incidentes de seguridad se volverán en su contra.

En este post, vamos a abordar un descuido común pero crítico cometido por los desarrolladores de APIs GraphQL-la habilitación de las características de introspección en entornos de producción. La introspección es una característica increíble para entender y probar las capacidades de tu API cuando estás en la etapa de desarrollo. Pero si no la desactivas antes de ponerla en producción, abres tu aplicación a vulnerabilidades significativas. Vamos a discutir cómo esto puede escalar en un riesgo de seguridad importante, junto con las medidas preventivas que puede tomar para reforzar la seguridad en su tubería DevOps.

El escenario

Imagine un equipo de desarrollo que lidera la implementación de la API GraphQL de su organización. GraphQL es un potente lenguaje de consulta diseñado para permitir a los clientes solicitar exactamente lo que necesitan en una sola consulta. A diferencia de las API REST tradicionales, que pueden requerir varias solicitudes para reunir datos y relaciones complejas. La estructura de los datos en GraphQL se define en un esquema, que describe los tipos de datos, las consultas y las mutaciones disponibles.

El equipo de desarrollo ha realizado un gran esfuerzo y ha creado algo impresionante. Esta API no sólo es robusta, sino también escalable, capaz de gestionar millones de transacciones por minuto, todo gracias a las capacidades de autoescalado que el equipo ha diseñado y construido. Con su enfoque en el rendimiento y la escalabilidad, se han asegurado de que esta API pueda manejar una carga enorme sin ningún contratiempo.

Sin embargo, en su prisa por desplegar e impresionar con esta nueva y brillante API GraphQL, pasaron por alto un pequeño detalle: la introspección sigue habilitada en el entorno de producción. La introspección es una potente herramienta para los desarrolladores, ya que les permite consultar qué recursos están disponibles en la API. Simplemente no es algo que debería estar abierto al acceso en producción.

¿Cuáles son las consecuencias?

Pues bien, a medida que la API se amplía para satisfacer la demanda, cada nueva instancia multiplica el riesgo potencial. Ahora, la importante vulnerabilidad de seguridad se ha extendido a un número cada vez mayor de nodos. Con eso, hemos preparado el escenario para la explotación potencial por parte de malos actores. Tienen todo lo que necesitan para descubrir información detallada sobre la estructura y la capacidad de esta nueva y brillante API.

Al olvidarse de un simple interruptor, el equipo ha convertido una función bienintencionada en un enorme fallo de seguridad.

Comprender la vulnerabilidad

Con la introspección activada, un desarrollador puede consultar la API GraphQL para ver el esquema completo, con todos sus tipos de datos, campos, consultas y mutaciones. Esto es como tener un mapa detallado de todos los puntos finales operativos y estructuras de datos para una API. Es un gran recurso en manos de un desarrollador. Pero no es algo que quieras poner en manos de un ciberatacante.

Considere cómo un atacante podría explotar las capacidades de introspección para aprender sobre su API GraphQL. En primer lugar, pueden definir Fragments para que los resultados de sus consultas sean más fáciles de leer.

  fragment FullType on __Type {
    kind
    name
    description
    fields(includeDeprecated: true) {
      name
      description
      args {
        ...InputValue
      }
      type {
        ...TypeRef
      }
      isDeprecated
      deprecationReason
    }
    inputFields {
      ...InputValue
    }
    interfaces {
      ...TypeRef
    }
    enumValues(includeDeprecated: true) {
      name
      description
      isDeprecated
      deprecationReason
    }
    possibleTypes {
      ...TypeRef
    }
  }

  fragment InputValue on __InputValue {
    name
    description
    type { ...TypeRef }
    defaultValue
  }

  fragment TypeRef on __Type {
    kind
    name
    ofType {
      kind
      name
      ofType {
        kind
        name
        ofType {
          kind
          name
          ofType {
            kind
            name
            ofType {
              kind
              name
              ofType {
                kind
                name
                ofType {
                  kind
                  name
                }
              }
            }
          }
        }
      }
    }
  }

A continuación, pueden enviar una consulta para introspeccionar el __schema que está disponible en el tipo raíz de una consulta. La consulta GraphQL podría tener este aspecto:

{
  __schema {
    queryType {
      name
    }
    mutationType {
      name
    }
    subscriptionType {
      name
    }
    types {
      ...FullType
    }
    directives {
      name
      description
      locations
      args {
        ...InputValue
      }
    }
  }
}

Al enviar esa consulta, junto con las definiciones de fragmentos, a una API GraphQL con la introspección activada, un atacante recibirá una respuesta con un objeto JSON completo con todos los detalles de su API. Luego, pueden utilizar una herramienta como GraphQL Voyager para mostrar la API GraphQL como un gráfico interactivo.

He aquí un ejemplo de visualización de una API GraphQL basada en la respuesta a la consulta de introspección que mostramos anteriormente:

visualización graphql

Como puede ver, esto revela gran parte de la estructura y los detalles relacionados con las operaciones de pago sensibles. Se trata de información extremadamente útil para un atacante que intente penetrar en su API. De nuevo: genial para los desarrolladores y, por desgracia, también genial para los atacantes.

Cuando dejas la introspección activada en producción, estos son los riesgos a los que te enfrentas:

  • Exposición de la información: La información detallada del esquema puede proporcionar a los atacantes información sobre sus sistemas backend, modelos de datos y lógica empresarial. Al entregarles los planos de su castillo, les facilita la elaboración de ataques dirigidos.
  • Facilitación de ataques: Armados con estos detalles sobre su API, los atacantes pueden crear consultas que exploten las vulnerabilidades. Esto puede provocar filtraciones de datos o interrupciones del servicio.
  • Drenaje de recursos: Los atacantes también pueden utilizar este conocimiento para elaborar consultas maliciosas como ataques de denegación de servicio (DoS). Estos ataques consumen recursos y pueden provocar la caída total del sistema.

Pero no se desespere. Los pasos para mitigar este riesgo son simples y directos. Como primer paso para protegernos, veamos qué nos dice OWASP.

Guía de la hoja de trucos OWASP GraphQL

El OWASP GraphQL Cheat Sheet es un recurso valioso para asegurar sus APIs GraphQL. Proporciona orientación para ayudarle con las siguientes áreas:

  • Validación de entradas
  • Limitar o evitar las consultas costosas
  • Garantizar controles de acceso adecuados
  • Desactivación de configuraciones inseguras, como la introspección

La hoja de trucos tiene una sección dedicada a la Introspección y GraphiQL. GraphiQL es un IDE en el navegador para explorar GraphQL. Similar a las capacidades de introspección, GraphiQL puede exponer información detallada sobre el funcionamiento interno y el diseño de su API.

Si estás construyendo una API GraphQL, te recomendamos que te familiarices con la hoja de trucos de OWASP.

Cómo mitigar la vulnerabilidad de seguridad Introspection

Tomando como referencia la hoja de trucos de OWASP, seguiremos sus instrucciones para deshabilitar las consultas de introspección en entornos de producción o de acceso público. Esto es fundamental para evitar el acceso no autorizado a información detallada del esquema que podría ser explotada por los atacantes.

¿Cómo lo hacemos?

Aquí tienes un sencillo fragmento de código en JavaScript que demuestra cómo desactivar la introspección en producción si utilizas Apollo Server:

const { ApolloServer } = require('apollo-server');

const server = new ApolloServer({
  typeDefs,
  resolvers,  // Enable introspection only in development or test environments
  introspection: process.env.NODE_ENV === 'development' ||                 process.env.NODE_ENV === 'test',
});

server.listen().then(({ url }) => {
  console.log(`Server ready at ${url}`);
});

Sí, eso es básicamente todo lo que hay que hacer. Este sencillo paso (configurar introspection a false al configurar una nueva instancia de ApolloServer) evitará que los usuarios accedan a información detallada del esquema a través de consultas de introspección. Esto reducirá el riesgo de que se filtre información sensible.

Cómo integrarlo en su proceso DevOps seguro

Si el paso es tan sencillo, ¿por qué lo olvidan tan a menudo los desarrolladores? Porque están centrados en otras cosas y ocupados intentando cumplir plazos críticos. No es de extrañar que ajustes de configuración aparentemente menores se pasen por alto de vez en cuando.

Por eso existen las pruebas automatizadas y la canalización DevOps, para evitar los errores humanos y los olvidos.

¿Cómo podría integrar esta medida de seguridad en su proceso DevOps? He aquí dos sugerencias:

  • Escribe una prueba de pre-despliegue que compruebe explícitamente la configuración de tu servidor GraphQL para asegurar que la introspección está desactivada en el despliegue de producción.
  • Escriba una prueba posterior al despliegue que intente realizar una consulta de introspección en el entorno de producción. Cuando su intento se encuentra con una respuesta de error (como Cannot query field '__schema' on type 'Query'), la prueba debería pasar.

Aproveche las herramientas de canalización CI/CD como Jenkins, GitHub Actions o CircleCI para ejecutar secuencias de comandos que comprueben la configuración de su API GraphQL como parte del proceso CI/CD.

Conclusión

Construir APIs GraphQL puede ser una gran forma de innovar para tu empresa, pero requiere que seas proactivo en tus prácticas de seguridad. Un pequeño descuido podría exponer tu API a enormes vulnerabilidades. En este post, hemos cubierto un buen ejemplo de esto: desactivar la introspección para despliegues de producción, para que los atacantes no tengan acceso a información detallada sobre tu esquema GraphQL.

Para obtener más orientación y recursos, consulte la completa biblioteca de guías de Linoderelacionadas con la seguridad, el desarrollo de GraphQL y https://www.linode.com/docs/guides/platform/.

También te puede gustar...

Automatización del cumplimiento con Harry.

Explicación de las herramientas de automatización del cumplimiento | Protección de datos y clientes

En este vídeo, Harry explica la importancia de la automatización del cumplimiento y muestra cómo utilizar herramientas de automatización del cumplimiento como Chef.
Seguridad
Cómo protegerse de los ataques de ransomware con Steve Winterfeld, imagen destacada.

Cómo protegerse de los ataques de ransomware | Steve Winterfeld, Akamai

En este vídeo, Steve Winterfeld, CISO asesor de Akamai, comparte consejos sobre cómo pueden protegerse las empresas de los ataques de ransomware.
Seguridad
Wazuh es una central de ciberseguridad que ofrece Code with Harry.

Wazuh es un centro neurálgico de ciberseguridad | Expertos en seguridad de código abierto Monitoring & Response

@CodeWithHarry cubre Wazuh, una plataforma de seguridad de código abierto utilizada para recopilar y analizar datos de seguridad.
Seguridad

Comentarios (1)

  1. Author Photo
    Brandon

    Integrating security into your DevOps pipeline is essential for identifying vulnerabilities early and ensuring robust protection throughout the development cycle. Emphasizing automated security checks and continuous monitoring helps mitigate risks and enhances overall system resilience.

    Reply

Dejar una respuesta

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *.