0
0
No ambiente de negócios acelerado de hoje, as organizações devem simplificar o desenvolvimento de software, pois a codificação de novos aplicativos e atualizações de software são uma tarefa cotidiana. O desenvolvimento de códigos de classe empresarial evoluiu em duas frentes para lidar com esse volume: equipes de desenvolvimento dispersas globalmente; e ferramentas DevOps que incluem o processo Agile.
Embora essa mudança de paradigma tenha permitido que as organizações acompanhem as necessidades crescentes e aceleradas dos negócios, ela também pode expor uma empresa a riscos à segurança. Desde o desenvolvimento até a implantação, seções de código e aplicativos completos (micro-serviços) têm que passar entre contribuintes que poderiam estar geograficamente distantes. Sem uma forte segurança que mantenha uma Raiz de Confiança, a proteção de dados não pode ser garantida.
Como você pode implementar uma segurança forte sem afetar negativamente o ritmo rápido dos DevOps? Muitas vezes, as organizações deixam a tarefa de descobrir quais soluções de criptografia e gerenciamento de identidade de dispositivos usar para a equipe de desenvolvimento. Os profissionais de segurança podem achar que ferramentas abertas e gratuitas são fáceis de obter e, à primeira vista, parecem ser “boas o suficiente”. Isso pode ser “bom o suficiente” para um novo aplicativo que está incubando, mas uma vez que se aproxima da implantação e “graduados” para um produto de classe empresarial, a segurança de ponta a ponta é necessária para proteger os dados dos clientes, bem como a reputação da organização.
Para referência, vamos ver uma visão de alto nível das etapas envolvidas em um processo DevOps seguro:
- O desenvolvedor precisa fazer check-in no novo micro-serviço como parte do processo de desenvolvimento ágil de Integração Contínua /Desenvolvimento Contínuo (CI/CD)
- Uma identidade de máquina segura é necessária para o código de microatendimento
- Uma Solicitação de Assinatura de Certificado (RSE) é enviada a uma autoridade de certificado confiável para ser cumprida
- A nova RSE é recebida de volta ao desenvolvedor e instalada no microatendimento
- A segurança do código de microatendimento está agora assegurada e agora pode ser submetida, pois a identidade do código pode ser assegurada
Se olharmos mais de perto os passos acima, é fácil ver como as etapas necessárias para estabelecer a segurança do código podem afetar negativamente a eficiência e a produtividade do desenvolvedor. Essencialmente, o desenvolvedor estaria negociando velocidade por segurança. Pior ainda, se o desenvolvedor usa uma solução não comprovada que não é de classe empresarial, as chances de identidades de máquinas serem comprometidas aumentam muito.
Outra maneira de desacelerar o processo DevOps é forçar os desenvolvedores a usar diferentes ferramentas para atender às políticas de DevSecOps e às regulamentações globais de conformidade. Aprender novas ferramentas, ou usar ferramentas que não são bem conhecidas pelo desenvolvedor, pode adicionar tempo de treinamento e possíveis erros que são evitáveis se o desenvolvedor puder se ater às ferramentas que conhece melhor.
Para atender às necessidades de segurança dos DevOps, mantendo a velocidade do processo Agile, Thales, Venafi e HashiCorp integraram e testaram uma solução completa de DevOps completa. Com Plataforma de proteção de confiança da Venafi, Plataforma Corporativa Vault da HashiCorp E Módulos de Segurança de Hardware Da Thales Luna (HSMs), a equipe de DevOps de uma organização terá uma abrangente solução de gerenciamento de identidade de criptografia e chave de criptografia.
Para saber mais, baixe nossa solução conjunta breve”,Simplificando a segurança de DevOps com Thales, Venafi & HashiCorp“.
FONTE: THALES