¿Cómo se asegura la Infraestructura como Código en el pipeline?
Respuesta breve
El escaneo de IaC analiza estáticamente definiciones de Terraform, CloudFormation, Kubernetes y similares contra una política para detectar configuraciones erróneas — buckets S3 públicos, grupos de seguridad abiertos, cifrado ausente — antes de que se aprovisionen. Como la misma plantilla aprovisiona muchos recursos, corregirla una vez evita la deriva repetida, y detectarlo antes de aplicar es mucho más barato que remediar recursos cloud en producción. Las herramientas incluyen Checkov, tfsec y KICS, idealmente aplicadas como barreras de policy-as-code.
La mayoría de las brechas en la nube se remontan a una configuración errónea, no a exploits exóticos. Como la infraestructura ahora se define como código, puedes detectar esas configuraciones erróneas igual que detectas errores — escaneando el código.
Qué hace el escaneo de IaC
Un escáner de IaC analiza estáticamente las definiciones de infraestructura — Terraform, CloudFormation, ARM/Bicep, manifiestos de Kubernetes, charts de Helm — contra una biblioteca de reglas de seguridad y tus propias políticas. Señala los clásicos: buckets de almacenamiento expuestos al público, grupos de seguridad abiertos a 0.0.0.0/0, volúmenes sin cifrar, roles IAM demasiado amplios, registro ausente. Herramientas como Checkov, tfsec y KICS se conectan directamente a CI y se ejecutan en cada pull request.
Por qué escanear la plantilla, no el recurso
Esta es la idea clave. Un único módulo puede aprovisionar docenas de recursos en muchos entornos. Corrige la plantilla una vez y cada despliegue futuro será correcto; remedia el recurso en producción y volverá a derivar la próxima vez que alguien ejecute el pipeline. El escaneo antes de aplicar también es drásticamente más barato — estás editando un fichero, no corriendo para blindar una base de datos expuesta públicamente que ya sirve tráfico.
Policy as code y excepciones
Los equipos maduros expresan sus barreras como policy-as-code (p. ej. OPA/Rego, o el propio lenguaje de políticas del escáner) para que las reglas estén versionadas y sean consistentes. Cuando un hallazgo es una excepción legítima, no desactivas el escáner — registras una supresión documentada, acotada en el tiempo y revisada para que la excepción sea auditable en lugar de silenciosa.
Combínalo con comprobaciones en runtime
El escaneo de IaC solo ve lo que está en las plantillas. Combínalo con Cloud Security Posture Management (CSPM) para detectar la deriva y los recursos creados fuera del pipeline.
Lo que buscan los entrevistadores
Quieren el razonamiento de «corregir la plantilla, no el recurso», conocimiento de herramientas reales, y un enfoque sensato de las excepciones que mantenga la barrera significativa.
Posibles preguntas de seguimiento
- ¿Por qué corregir la plantilla es mejor que corregir el recurso desplegado?
- ¿Qué es policy-as-code y cómo encaja aquí?
- ¿Cómo manejas una excepción legítima a una política?