Pesquisar

Português

Português

Login

Login/Registre-se

Websites

DevOps

DevSecOps: segurança integrada

A metodologia DevOps não envolve apenas as equipes de desenvolvimento e de operações. Se você quiser aproveitar ao máximo a agilidade e a capacidade de resposta proporcionadas pela abordagem DevOps, também será necessário que a equipe de segurança da TI desempenhe um papel integrado em todo o ciclo de vida das aplicações da sua empresa.

Por quê? Antigamente, a segurança era delegada a uma equipe específica que atuava isoladamente no estágio final do desenvolvimento. Isso não era um problema quando os ciclos de desenvolvimento duravam meses ou anos. Mas hoje em dia, já não é mais assim. Uma implementação eficaz de DevOps garante ciclos de desenvolvimento rápidos e frequentes, muitas vezes com duração de semanas ou dias. No entanto, práticas antiquadas de segurança podem arruinar até as iniciativas de DevOps mais eficientes.

devsecops

Agora, no framework colaborativo do DevOps, a segurança é uma responsabilidade compartilhada e integrada do início ao fim. É uma mentalidade tão importante que resultou na criação do termo “DevSecOps” para enfatizar a necessidade de criar um alicerce de segurança para sustentar as iniciativas de DevOps.

“colaboração 

DevSecOps significa pensar na segurança da aplicação e da infraestrutura desde o início. Também significa automatizar algumas barreiras de segurança para evitar que o fluxo de trabalho de DevOps fique lento. Selecionar as ferramentas corretas para integrar a segurança continuamente – como concordar em implementar um ambiente de desenvolvimento integrado (IDE) com funcionalidades de segurança – é um meio de atingir essas metas. No entanto, uma segurança eficaz em DevOps requer mais do que ferramentas novas: ela deve ser construída tendo como base as mudanças culturais geradas pelo DevOps e se integrar ao trabalho das equipes de segurança o quanto antes.


A segurança em DevOps é integrada

Independentemente de receber o nome de "DevOps" ou "DevSecOps", o ideal sempre foi incluir a segurança como parte integral de todo o ciclo de vida da aplicação. DevSecOps é uma abordagem de segurança integrada, não apenas uma camada de proteção em torno de aplicações e dados. Se a segurança for implantada apenas no final do pipeline de desenvolvimento, as empresas que usam DevOps podem acabar voltando aos longos ciclos de desenvolvimento que querem evitar.

Em parte, o DevSecOps destaca a necessidade de convidar as equipes de segurança a participarem das iniciativas de DevOps desde o início, a fim de integrar a segurança da informação e estabelecer um plano de automação. Essa metodologia também salienta que é preciso ajudar os desenvolvedores a criar os códigos levando a segurança em consideração, um processo que exige que as equipes de segurança compartilhem insights, feedbacks e visibilidade sobre as ameaças conhecidas. Possivelmente, esse esforço demandará também um novo treinamento de segurança para os desenvolvedores, já que esse tópico nem sempre está entre os focos principais do desenvolvimento de aplicações tradicional.

O que é a integração da segurança de fato? Primeiro, uma boa estratégia de DevSecOps é determinar a tolerância a riscos e conduzir uma análise de riscos e benefícios. Quantos controles de segurança são necessários para uma determinada aplicação? Quão importante é acelerar o time to market para aplicações diferentes? Automatizar tarefas repetitivas é essencial para o DevSecOps, já que verificações de segurança manuais no pipeline podem ser muito demoradas.


A segurança em DevOps é automatizada

O que é preciso fazer: manter os ciclos de desenvolvimento curtos e frequentes, integrar as medidas de segurança com mínima interrupção das operações, acompanhar o ritmo das tecnologias inovadoras (como containers e microsserviços) e, acima de tudo, estimular a colaboração entre equipes que normalmente trabalham isoladas, uma tarefa complicada em qualquer organização. Todas essas iniciativas começam pelas pessoas, com a colaboração de todos na empresa. No entanto, o elemento facilitador dessas mudanças no aspecto humano do framework de DevSecOps é a automação.

“automação

Mas o que e como automatizar? Existe uma orientação por escrito que ajuda a responder a essa pergunta. As organizações devem dar um passo para trás e refletir sobre todo o ambiente de desenvolvimento e operações. Isso inclui repositórios de controle de fontes, registros de containers, pipeline de integração e implantação contínuas (CI/CD), automação de orquestração e lançamento, gerenciamento de interfaces de programação de aplicações (APIs) e gerenciamento/monitoramento operacional.

As novas tecnologias de automação ajudam as organizações a adotar práticas de desenvolvimento mais ágeis. Elas também têm desempenhado um papel fundamental em promover avanços nas novas medidas de segurança. No entanto, a automação não é a única parte do panorama de TI que mudou nos últimos anos. As tecnologias nativas em nuvem, como containers e microsserviços, agora são essenciais na maioria das iniciativas de DevOps, e é necessário adaptar a segurança para que seja compatível com elas.


A segurança em DevOps foi criada para containers e microsserviços

Com o uso de containers, as infraestruturas ganharam mais dinamismo e escalabilidade e, assim, muitas organizações mudaram completamente sua maneira de fazer negócios. Por isso, as práticas de segurança de DevOps precisam ser adaptadas a esse novo panorama e alinhadas a diretrizes de segurança específicas para containers. As tecnologias nativas em nuvem são compatíveis com as políticas e listas de verificação de segurança estáticas. É necessário que a segurança seja contínua e integrada em todos os estágios do ciclo de vida da infraestrutura e dos aplicativos.

DevSecOps significa integrar a segurança ao desenvolvimento de aplicativos do início ao fim. Essa integração no pipeline requer que a organização adote uma nova mentalidade, assim como novas ferramentas. Com isso em mente, as equipes de DevOps devem automatizar a segurança para proteger o ambiente e os dados em geral, assim como processos de integração e entrega contínuos. Essa é meta provavelmente incluirá a segurança de microsserviços em containers.

Segurança de ambientes e dados:

Padronize e automatize o ambiente.

Cada serviço deve ter o mínimo possível de privilégios para reduzir as conexões e os acessos não autorizados.

Centralize os recursos de controle de acesso e identidade de usuários.

Ter um controle rígido do acesso e usar mecanismos de autenticação centralizados são fatores essenciais para a segurança dos microsserviços, já que a autenticação é iniciada em vários pontos.

Isole os containers que executam microsserviços um dos outros e da rede.

Isso inclui dados em trânsito e em repouso, já que ambos os tipos podem ser alvos de ataques.

Criptografe os dados trocados entre aplicativos e serviços.

Uma plataforma de orquestração de containers com recursos de segurança integrados ajuda a minimizar a chance de ocorrerem acessos não autorizados.

Introduza gateways de API seguros.

APIs seguras aumentam a visibilidade de autorização e roteamento. Ao diminuir a quantidade de APIs expostas, as organizações podem reduzir as superfícies de ataque.

Segurança do processo de CI/CD:

Integre verificadores de segurança para containers.

Isso deve fazer parte do processo de inclusão de containers no registro.

Automatize os testes de segurança no processo de integração contínua.

Isso inclui executar ferramentas de análise estática de segurança como parte das compilações, bem como verificar quaisquer imagens de container criadas anteriormente para encontrar vulnerabilidades de segurança conhecidas conforme elas são inseridas no pipeline de criação.

Adicione testes automatizados para os recursos de segurança no processo de teste de aceitação.

Automatize os testes de validação de entradas, bem como os recursos de autorização e autenticação da verificação.

Automatize as atualizações de segurança, como patches, para identificar vulnerabilidades conhecidas.

Faça isso por meio de um pipeline DevOps. Essa medida deve eliminar a necessidade de administradores se conectarem aos sistemas de produção, a mesmo tempo que cria um log de alterações rastreáveis e documentadas.

Automatize os recursos de gerenciamento das configurações de serviços e sistemas.

Com isso, é possível manter a conformidade com as políticas de segurança, bem como eliminar os erros manuais. As tarefas de auditoria e correção também devem ser automatizadas.

As ferramentas de DevSecOps de que você precisa

Gerenciamento

Red Hat Ansible Automation Platform

Uma tecnologia de automação de TI simples e sem agentes que permite aprimorar os processos existentes e migrar aplicações para aumentar a otimização, além de fornecer uma linguagem unificada para as práticas de DevOps em toda a organização.

Cloud computing

O Red Hat® OpenShift® oferece segurança integrada para aplicações baseadas em containers, incluindo controle de acesso baseado em funções, Security-Enhanced Linux (SELinux) com isolamento habilitado e verificações durante todo o processo de criação de containers.

Você pode fazer muito mais com o DevSecOps