PAM e DEVOPS – como combinar estes dois? Credenciais de contas privilegiadas, chaves de criptografia e outros “segredos” estão se proliferando rapidamente.
A pandemia de Covid-19 acelerou o processo de transformação digital em organizações de todos os tipos e tamanhos. Segundo o Gartner, os negócios que mais devem crescer neste período são Cloud, Serviços de TI, Desenvolvimento e Segurança. De acordo com pesquisa realizada pela Barracuda, 53% dos líderes de TI vão acelerar seus planos de migrar 100% da sua infraestrutura para modelos em nuvem
De acordo com a Forrester Research, pelo menos metade das organizações de TI estão usando DevOps para aumentar a velocidade e a eficiência do desenvolvimento e implantação de aplicativos, exigindo uma maior integração de processos entre as equipes de Desenvolvimento e Operações.
Devido à natureza dinâmica do DevOps, credenciais de contas privilegiadas, chaves de criptografia e outros “segredos” estão se proliferando rapidamente em toda a infraestrutura de TI, o que aumenta a escala e a complexidade da entrega de aplicações nesses ambientes.
Muitos desses segredos são armazenados em repositórios de código e ambientes de nuvem e compartilhados por máquinas por meio de contêineres e microsserviços, criando uma ameaça significativa à segurança cibernética, se não forem gerenciadas e protegidas como outras credenciais privilegiadas.
Isso significa que a segurança da conta com privilégios não está totalmente integrada aos processos DevOps em novos ambientes.
Embora as soluções in-house possam ajudar, elas normalmente não são escalonáveis e muitas vezes negligenciam algumas das fontes de credenciais de contas privilegiadas. Elas também podem criar gargalos nos processos operacionais de TI, impedindo a velocidade e a agilidade do pipeline de DevOps. Um dos desafios associados ao DevOps é a adaptação dos processos e ferramentas de testes de Segurança aos times de Desenvolvimento, escalonando a cibersegurança para a efetiva implementação do DevSecOps.
PAM e DEVOPS
A introdução de práticas DevOps levou a uma revolução no desenvolvimento de software. No entanto, à medida que as empresas adotam essas novas tecnologias, ferramentas e metodologias, incorporar o gerenciamento de acesso privilegiado (PAM) torna-se cada vez mais complexo.
As políticas corporativas, os padrões do setor e as regulamentações governamentais determinam que as equipes de segurança e operações devem gerenciar e auditar permissões e credenciais para um número crescente de contas de usuários e serviço.
Como prática recomendada, um modelo de controle de acesso com privilégios mínimos é obrigatório. Para agravar o problema, os métodos tradicionais de proteção de ambientes envolvem intervenções manuais e controles restritivos que dificultam significativamente a agilidade das equipes de desenvolvimento e operações.
Por causa disso, o DevOps evitou o PAM por considerá-lo muito lento e complexo para implantar e gerenciar.
Somando-se à complexidade, aplicativos, máquinas virtuais, serviços e processos em execução na nuvem possuem identidades. Na verdade, as identidades de aplicações representam hoje a maioria dos “usuários” em muitas organizações.
Como integrar o PAM ao DEVOPS
O acesso às identidades de aplicações deve ser estritamente monitorado e controlado para que o acesso não autorizado e não verificado seja automaticamente negado.
Usando essa abordagem, uma solução PAM protege as credenciais e controla o acesso a elas, além de poder atualizar as senhas automaticamente, tornando-as mais difíceis de quebrar.
Como os aplicativos agora fazem chamadas de API para buscar essas informações, as equipes de DevOps não estarão mais preocupadas em atualizar seu código sempre que as senhas forem alteradas.
Embora existam muitas aplicações de conceitos DevOps em segurança, a automação e o controle de versão são dois ótimos lugares para começar. É importante ressaltar que as melhores práticas de DevOps ajudam a construir um ambiente seguro desde o início, com uma abordagem mais colaborativa.
O PAM é uma técnica alternativa preferida por um número crescente de empresas;fornece controle centralizado e granular sobre como os usuários e aplicativos podem acessar ferramentas e bancos de dados.
Ele gera credenciais exclusivas para cada desenvolvedor e para cada ferramenta que usa tokens gerados automaticamente. Como resultado, o usuário não precisa se lembrar de seus dados de login ou, na verdade, nem mesmo saber quais são.
A seguir, estão listadas algumas das melhores práticas relacionadas à PAM, que podem ser integradas pelos times no ciclo de desenvolvimento de software.
Descobrir e inventariar todas as credenciais privilegiadas, além dos dispositivos associados
É impossível gerenciar o que não se conhece. Portanto, esta etapa é fundamental para todo o processo PAM. Como a cadeia de ferramentas do DevOps pode conter inúmeros scripts e automação em todas as camadas, essa pode ser uma tarefa bem difícil.
No entanto, é necessário que haja visibilidade clara sobre exatamente quais ferramentas estão executando a automação e quais privilégios são atribuídos a elas. É necessário saber, por exemplo, o que realmente está sendo executado, quem está executando e quando.
Além disso, as organizações precisam entender onde a automação está armazenada e, consequentemente, onde essas informações de credenciais incorporadas estão sendo armazenadas, para que a respectiva segurança possa ser avaliada.
Finalmente, é preciso entender todo o processo, e as credenciais privilegiadas estão sendo incorporadas para a edição, armazenamento, operação e criação de scripts.
Aplicar o princípio do privilégio mínimo
Por fim, os conceitos relacionados à PAM dependem apenas de fornecer a usuários individuais ou contas de automação específicas a quantidade exata de privilégios necessários para realizar suas atividades.
Em um ambiente onde credenciais são fornecidas aos times de DevOps o tempo todo, muito privilegiadas, o modelo adotado deve ser baseado no privilégio mínimo.
Assim, é possível fornecer privilégios suficientes para que o processo do DevOps funcione, de modo a garantir que, caso algum processo ou conta seja comprometido, o resto do ambiente não seja comprometido.
senhasegura é uma solução PAM que possui controles de acesso granulares, gerenciamento de credenciais, registros detalhados de logs e gravação de sessão, além da capacidade de analisar o comportamento de usuários.
Desta maneira, é possível permitir a autonomia de provisionamento de acesso para os times de desenvolvimento sem comprometer a segurança das aplicações no pipeline DevOps.
Solicite uma demonstração agora e descubra, na prática, os benefícios do senhasegura para limitar os danos causados por ameaças internas.
Veja também:
- senhasegura – Gestão de Acesso Privilegiado (PAM)
- Riscos associados a falta de proteção em acesso em Cloud
Deixe sua opinião!