Created by Juan Robles, last modified on feb 06, 2025

En este documento se plantean los riesgos relacionados con el departamento técnico de lend2B

Trabajo previo

En el documento de seguridad se describe el trabajo técnico para mitigación de riesgos de seguridad en desarrollo desde el equipo de tecnología de lend2B.

Riesgos técnicos

  • Fallas en la escalabilidad: Si no se configura y se monitorea correctamente, la arquitectura podría no escalar de forma eficiente, lo que afectaría el rendimiento y la disponibilidad del proyecto.

  • Complejidad en la gestión: La administración de una arquitectura serverless puede ser compleja, especialmente si se utilizan muchos servicios diferentes, actualmente usamos los servicios de aws listados en este documento.

  • Monitorización: La monitorización de errores puede ser más compleja en un entorno serverless.

  • Disaster Recovery: Sin una estrategia de recuperación de un ambiente en eventos catastróficos, puede generar largos periodos de lend2b sin funcionamiento.

Riesgos económicos

  • Costos impredecibles: Las arquitecturas serverless puede dificultar la predicción de los costos en ambientes productivos.

  • Fallas en la optimización: Si no se optimizan correctamente las funciones Lambda y el uso de los recursos, se pueden generar costos innecesarios.

Riesgos de seguridad

  • Inyección de código: Las Lambda functions pueden ser vulnerables a la inyección de código si no se implementan medidas de seguridad adecuadas.

  • Acceso no autorizado: Es importante configurar correctamente los permisos de acceso a los diferentes recursos de AWS para evitar accesos no autorizados.

  • Fuga de datos: Los datos sensibles pueden estar en riesgo si no se implementan medidas de seguridad adecuadas para su almacenamiento y transmisión.

Riesgos de cumplimiento

  • Regulatorias: El no cumplimiento de las regulaciones y normativas en los ecosistemas donde se implementa lend2B.

Recomendaciones y trabajo en curso

Automatización de servicios

Al desplegar servicios en CodeBuild, se logra una mejora significativa en la automatización del proceso de desarrollo e implementación. CodeBuild permite automatizar las tareas de compilación, prueba e implementación de código, lo que reduce el tiempo y el esfuerzo manual necesarios para estas tareas.

Existe un trabajo en curso para agregar a CodeBuild y a CloudFormation los servicios que actualmente se administran manualmente.

También usamos AWS Amplify donde desplegamos los proyectos del frontend.

Monitoreo de fallos y de seguridad

Se está implementando una herramienta de monitoreo llamada Sentry de errores con la ayuda de Callao.

En AWS usamos CloudWatch para hacer seguimiento de errores en la infraestructura.

Monitoreo constante de gastos

En AWS existen varias herramientas para monitorear y predecir gastos, es importante estar constantemente monitoreando el Cost Manager de AWS y configurando alertas para gastos no predecibles.

https://docs.aws.amazon.com/cost-management/latest/userguide/what-is-costmanagement.html

https://docs.aws.amazon.com/cost-management/latest/userguide/budgets-managing-costs.html

Planificación financiera

Realizar una planificación financiera detallada del proyecto, estimando los costos de los diferentes servicios y recursos que se utilizarán.

Optimización y mejora continua de recursos

Optimizar recursos para minimizar los costos.

Pruebas de estrés y escalabilidad

Las pruebas de estrés ayudas a verificar la escalabilidad de las soluciones, hasta ahora se han hecho algunas pruebas informales.

Escaneos y pruebas de Seguridad

Con el apoyo de Callao, se están haciendo pruebas y escaneos de seguridad usando software como Hacker Guardian.

En lend2B hemos usados software libre de escaneo para la búsqueda de vulnerabilidades.

Capacitación del equipo

El equipo se está capacitando en el Skill Builder de AWS para el correcto uso de servicios, y se tiene planificado que se certifiquen en el AWS Certified Cloud Practitioner

Se tiene planificado la capacitación del equipo en el Top10 OWASP

Verificacion de cumplimiento

Es importante verificar que la arquitectura serverless cumpla con las regulaciones y normativas de cada país donde se implemente lend2B.

Enlaces de interés