Del día 22 al 26 de junio, el equipo de gestores del Repositorio Institucional UNAL, estará en receso de actividades administrativas. Durante estos días, puede seguir depositando sus trabajos de grado en la plataforma con normalidad. Retomaremos la publicación de los documentos en estricto orden de llegada tan pronto regresemos de nuestro receso. ¡Gracias por su comprensión!

Método basado en políticas de seguridad como código para fortalecer la seguridad en el aprovisionamiento de infraestructura en entornos multinube

Miniatura

Archivos

Tesis de Maestría Ingeniería de Sistemas y Computación (3.74 MB)

Autores

Director

Vergara Vargas, Jeisson Andrés

Tipo de contenido

Trabajo de grado - Maestría

Editor

Document language:

Español

Fecha

2026

Título de la revista

ISSN de la revista

Título del volumen

Documentos PDF

Resumen

Esta tesis presenta un método para la implementación, automatización y validación de políticas de seguridad como código (Policy as Code, PaC) en entornos multinube, integrando prácticas DevOps y herramientas de infraestructura como código. El método contempla tres roles fundamentales dentro del ciclo de despliegue: el ingeniero de ciberseguridad, encargado de elaborar un documento de diseño técnico que define los requisitos de seguridad de la organización; el arquitecto de infraestructura, responsable de codificar y publicar dichas políticas en un repositorio centralizado; y el ingeniero de software, encargado de desplegar infraestructura que es evaluada continuamente frente a estas políticas. La propuesta incluye el diseño de una herramienta que integra control de versiones, estrategias de ramas, automatización mediante pipelines y validación de políticas en diferentes capas: controles nativos de cada proveedor de nube (Azure, AWS y GCP), políticas de Open Policy Agent (OPA) y políticas de Sentinel en Terraform Cloud. Para validar el método, se construyó una arquitectura de prueba replicada en los tres proveedores de nube. Posteriormente, se desplegó un conjunto de políticas preventivas y detectivas diseñadas para identificar configuraciones inseguras, tales como recursos sin cifrado, accesos públicos no autorizados, configuraciones no permitidas en Kubernetes y desviaciones frente a estándares organizacionales. Los resultados demuestran que el método permite detectar fallas de configuración, bloquear despliegues riesgosos y generar hallazgos consistentes y reproducibles. Asimismo, se evidencia que la automatización de políticas reduce la dependencia de procesos manuales, aumenta la trazabilidad y fortalece la gobernanza de la infraestructura como código en entornos multinube. El estudio concluye que el método propuesto es viable, efectivo y escalable, y constituye una base sólida para la adopción de políticas como código en organizaciones con operaciones avanzadas en la nube. Además, abre oportunidades para extender la herramienta hacia escenarios de cumplimiento normativo, monitoreo continuo y análisis avanzado de seguridad. (Texto tomado de la fuente)

Abstract

This thesis presents a method for implementing, automating, and validating security policies as code (Policy as Code, PaC) in multi-cloud environments, integrating DevOps practices and infrastructure-as-code tools. The method considers three key roles within the deployment lifecycle: the cybersecurity engineer, responsible for producing the technical design document that defines the organization’s security requirements; the infrastructure architect, responsible for encoding and publishing these policies in a centralized repository; and the software engineer, who deploys infrastructure that is continuously evaluated against the defined policies. The proposal includes the design of a tool that integrates version control, branching strategies, pipeline automation, and multi-layer policy validation through cloud-native controls (Azure, AWS, GCP), Open Policy Agent (OPA) policies, and Terraform Cloud Sentinel policies. To validate the method, a test architecture was deployed across the three major cloud providers. A set of preventive and detective policies was implemented to identify insecure configurations such as unencrypted resources, unauthorized public access, non-compliant Kubernetes settings, and deviations from organizational standards. The results demonstrate that the method effectively detects configuration issues, blocks risky deployments, and produces consistent and reproducible findings. Moreover, policy automation reduces reliance on manual processes, increases traceability, and strengthens governance of infrastructure as code in multi-cloud environments. The study concludes that the proposed method is viable, effective, and scalable, providing a solid foundation for the adoption of Policy as Code in organizations with complex cloud operations. It also opens opportunities for extending the tool toward regulatory compliance, continuous monitoring, and advanced security analysis.

Palabras clave propuestas

Políticas como código; Policy as code; Infraestructura como código; Infrastructure as code; Seguridad en la nube; Cloud security; Devops; Gobernanza de infraestructura; Infrastructure governance; Cumplimiento normativo; Compliance

Descripción

ilustraciones a color, diagramas, tablas

Palabras clave

Citación

URI

https://repositorio.unal.edu.co/handle/unal/89892

Colecciones

Maestría en Ingeniería - Sistemas y Computación