DevSecOps: Desenvolvimento rápido sem sacrificar a segurança

DevSecOps: Desenvolvimento rápido sem sacrificar a segurança. O DevOps tem sido uma benção para empresas que buscam encurtar o ciclo de desenvolvimento de sistemas, forçando os desenvolvedores de software e as operações de TI a trabalharem juntos e ajudarem suas empresas a cumprir seus objetivos de negócios.

Mas embora o DevOps tenha sido adotado relativamente rápido, o mesmo não pode ser dito para adicionar segurança ao mix, embora muitos desenvolvedores de software e profissionais de TI e segurança concordem que seria bem-vindo e os efeitos dessa fusão na segurança do aplicativo estão documentados e claros .

De DevOps para DevSecOps

O processo de adicionar Sec ao DevOps não é fácil e requer um compromisso com mudanças culturais dentro da empresa: todos precisam assumir a responsabilidade pela segurança, estar na mesma página sobre seus deveres e trabalhar juntos durante os processos de desenvolvimento e entrega.

Ele também requer o desempenho da análise de segurança do aplicativo em todas as etapas do ciclo de vida da entrega de software, uma dose considerável de automação e a implementação das ferramentas certas.

O departamento de segurança é frequentemente visto nas organizações como um bloqueador de inovação porque os requisitos e processos que eles acrescentam diminuem o ritmo dos lançamentos de código. Se a segurança quer trabalhar melhor com as equipes de DevOps, precisa adotar abordagens que melhorem a segurança e, ao mesmo tempo, capacitem a inovação”, diz Andrew Peterson, CEO da Signal Sciences, empresa de segurança de aplicativos web .

As equipes de segurança devem seguir três princípios para reunir as tribos SecOps e DevOps:

  • Construir uma ponte entre as culturas de segurança e engenharia
  • Criar laços de feedback adequados que capacitam as equipes de desenvolvimento a atingir a velocidade de entrega desejada
  • Insistir em que tudo, inclusive a infraestrutura, seja tratado como código, ou componentes, para ser gerenciado e testado de forma eficaz em uma base contínua.

A busca desses três princípios é um esforço contínuo, e as ferramentas e processos que permitem que as equipes de segurança alcancem com sucesso esses objetivos serão aquelas que se mostrarem mais efetivas”, observa ele.

A nuvem, aplicativos e visibilidade

Segundo o site Help Net Security, os princípios-chave do DevOps – automação, melhoria contínua e adoção de arquitetura baseada em microsserviço – fazem parte da competitividade de uma organização no mercado.

Mas mover-se rapidamente dentro do contexto da nuvem e desenvolver e implantar aplicativos e serviços na nuvem ou um híbrido de on-premise e cloud tornou-se praticamente a norma e significa mais oportunidades para os invasores passarem.

A computação em nuvem apresenta desafios e amplia o cenário de ameaças. A execução de sistemas distribuídos e aplicativos em provedores de terceiros, como o Amazon Web Services (AWS), o Microsoft Azure ou o Google Cloud Platform, altera (ou deve mudar) a forma como pensamos sobre incidentes de segurança e movimentação lateral ”, diz Peterson ao Help Net Security.

É menos provável que os invasores consigam se firmar em sua organização por meio de seus sistemas por meio de segmentos de rede, mas, em vez disso, atacarão a configuração do seu provedor de nuvem e tentarão abrir brechas nesse ambiente“.

Infelizmente, uma das principais fraquezas que a maioria dos departamentos de segurança da empresa concentra, é a falta de preparo para lidar com a mudança no panorama de segurança de nuvem e aplicativos. De fato, como observa Peterson, especialistas do setor o apelidaram de “buraco negro” devido à desconexão que frequentemente sentem com essas novas arquiteturas de tecnologia.

Para lidar com isso, os provedores de nuvem, como a AWS, fornecem um registro de auditoria completo chamado CloudTrail, que registra todas as alterações em todas as configurações da sua arquitetura de nuvem. Enquanto isso, a auditoria monitora todos os comandos do sistema executados nos hosts. Combinar esses dois vetores de registro e auditoria fornece uma imagem mais clara das mudanças que ocorrem em todo o ambiente ”, explica Peterson.

Mas ainda assim, isso não é suficiente: as equipes de desenvolvimento que desejam integrar segurança em suas operações e ciclos de desenvolvimento precisam de ferramentas que forneçam ampla visibilidade de possíveis ataques na camada de aplicativo da Web, independentemente de onde os aplicativos, APIs e microsserviços funcionem.

A adoção de ferramentas que fornecem visibilidade em tempo real de possíveis ameaças e bloqueio automatizado irá capacitar e imbuir o DevOps com segurança que funciona dentro de um framework CI/CD – (continuous integration e continuous delivery)” , observa e diz que um dos principais objetivos da empresa é “tornar segurança visível para as equipes do grupo de tecnologia ”.

Nome Novo para Coisa Antiga

Ano passado publicamos aqui no Blog o artigo Segurança e DevOps – Conceito Novo para uma Necessidade Antiga onde colocamos que a integração de Segurança no ciclo de Desenvolvimento é importante para reduzir o retrabalho e diminuir falhas devido a requerimentos de segurança não seguidos e que a integração correta de pessoal e tecnologia de segurança, incluindo certificados digitais, pode melhorar as métricas organizacionais, evitar atrasos caros e melhorar a experiência do usuário final.

A Segurança da Informação é sempre “uma pedra no sapato” quando é chamada somente ao final do ciclo de Desenvolvimento. Usualmente quando um processo estruturado não acontece a Segurança é chamada ao final para liberar “regras de firewall” ou “criar usuários” e então descobre-se que o produto não implementa questões importantes de segurança e o desenvolvedor precisa voltar para a “prancheta” ou o produto entra em produção com deficiências importantes e coloca a organização exposta a riscos desnecessários.

Uma boa integração de Segurança com Desenvolvimento, aqui dê-se o nome que quiser,  DevOps ou outro, mapeia as fases do desenvolvimento e define-se os entregáveis de ambas as áreas para que se tenha as orientações e avaliações de segurança necessárias ao mesmo tempo que se tem as informações e implementações realizadas nos produtos.

A algum tempo atrás, em 2007, bem antes de falarmos de DevOps, tive o prazer de liderar uma equipe excelente de profissionais de segurança em um banco, onde definimos o que chamamos na época de ASTI que representava um indíce de “Aderência à Segurança de TI”. Para criar o ASTI, mapeamos cada fase da metodologia de desenvolvimento e definimos os entregáveis em cada uma delas.

Passamos a reportar mensalmente, nos comitês de TI e no book mensal da área, a aderência média de cada superintendência de desenvolvimento (o banco tinha várias, uma para cada área de negócio). Mas claro que antes comunicamos a todos o que iríamos fazer nos reunindo e explicando a cada uma das áreas individualmente.

No início causamos certo desconforto pois ninguém queria ver um número ruim na sua área, com o passar dos meses as equipes de Dev entenderam o propósito e “compraram” ideia, pois viram o benefício de ter a área de segurança envolvida desde o início no ciclo de desenvolvimento ajudando a definir os caminhos necessários para um desenvolvimento seguro e aderentes as normas do banco e não sendo mais a “pedra no sapato” na hora de subir para produção.

Um ano depois conseguimos fazer com que um percentual do indíce de qualidade do geral do projeto fosse relativo a avaliação ASTI.  Sucesso!!!!  Estava implementado o melhor processo de integração de segurança e desenvolvimento do qual tive oportunidade de participar e ver implementado. Claro que tive alguns problema com o ajuste de workload da área, mas isto a gente sempre resolve de alguma forma, e ali não foi diferente, a equipe era realmente boa.

Pelo que sei o sistema funcionou e evoluiu ainda mais até a venda do banco em 2016, quase 10 anos depois.

Portanto, seja qual for a forma de integração de segurança ao processo de desenvolvimento e de novos projetos de infraestrutura que use, seja qual for a metodologia “da moda” que adote, ou que desenvolva a sua própria metodologia, afirmo, sem medo que errar, que um bom processo de integração de segurança no ciclo de desenvolvimento de projetos, desde a geração da demanda até a pós implementação, o processo agrega e muito na robustez do ambiente e reduz o tempo de “go-live” e custo de cada solução (devido ao não retrabalho). De quebra o CSO poderá dormi mais tranquilo !

Me coloco a disposição para um visita caso queira saber compartilhar e discutir um pouco da minha experiência neste processo, é só mandar um email [email protected] que iremos nos falar.

Fonte: Help Net Security & Blog Minuto da Segurança 

Veja também:

About mindsecblog 1240 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

4 Trackbacks / Pingbacks

  1. Marco Civil da Internet completou 5 anos e pouco mudou até agora
  2. Site Associação Brasileira para Desenvolvimento de Atividades Nucleares foi hackeada
  3. EUA declara Emergência Nacional e fecha as portas para a Huawei
  4. Fabricantes de antivírus teriam sido hackeadas e exposto seus códigos

Deixe sua opinião!