0
0
À medida que os negócios e o mundo em geral se tornam mais complexos, a responsabilidade compartilhada entre o cliente e o provedor de nuvem torna-se, bem, mais nublada. Isso é especialmente verdadeiro quando se trata de segurança e conformidade.
Mover aplicativos e infraestrutura para a nuvem libera recursos e aumenta a flexibilidade e a escalabilidade, mas não isenta as organizações de garantir que suas responsabilidades regulatórias e de segurança sejam cumpridas. Os provedores de nuvem prometem a segurança da nuvem, mas as organizações são responsáveis pela segurança na nuvem. E a conformidade na nuvem — especialmente em um modelo híbrido — pode ser um grande desafio, porque você não sabe o que não sabe. E, claro, o que você não sabe é o que acabará custando a você – em tempo, dinheiro e, às vezes, reputação.
Já seria bastante difícil se nada mudasse, mas vivemos em um mundo de rotatividade contínua. No início de janeiro, por exemplo, o governo Biden divulgou sua agenda regulatória do outono de 2022 , incluindo dezenas de regras propostas, pendentes e finais que regem tudo, desde aditivos alimentares a requisitos de segurança cibernética para contratados do governo. E a própria nuvem abriu o caminho para aplicativos disruptivos, como o ChatGPT baseado em IA — aplicativos que têm muitos benefícios potenciais, mas também abrem novos canais garantindo conformidade e preocupações de segurança. A proposta de Lei Americana de Proteção e Privacidade de Dados , que forneceria padrões nacionais para informações pessoais coletadas por empresas, também poderia aumentar a supervisão federal da IA.
À medida que o escrutínio e os regulamentos aumentam, as penalidades estão se tornando mais fortes. As organizações devem garantir que estão fazendo tudo o que podem para proteger seus aplicativos de negócios e atender aos requisitos regulamentares enquanto aproveitam a nuvem. Não apenas isso, mas as organizações devem ser capazes de demonstrar que estão fazendo isso para quem quer que pergunte – auditores, clientes, parceiros e até mesmo a concorrência – sempre que eles perguntarem.
Mentalidade de Conformidade Contínua
A mudança contínua requer a adoção de uma mentalidade de conformidade contínua dentro de um modelo DevSecOps. Não há uma ferramenta para fazer isso. Na verdade, existem muitos – talvez muitos agora. É provável que o mercado converja, pois os provedores de plataformas integram recursos de segurança e conformidade, mas, enquanto isso, as organizações devem buscar proativamente oportunidades para integrar tecnologias que permitam e ajudem a manter a observabilidade, a governança e a segurança.
Por exemplo, os sistemas de gerenciamento de postura de segurança em nuvem ( CSPM ) ajudam as organizações a identificar e corrigir riscos de segurança devido a configurações incorretas de plataformas IaaS, SaaS e PaaS. Os CSPMs descobrem recursos de nuvem e os monitoram em relação às melhores práticas de segurança e padrões regulamentares estabelecidos.
Em uma escala mais abrangente, CNAPPs (plataformas de proteção de aplicativos nativos em nuvem) fornecem uma abordagem de plataforma integrada para segurança de aplicativos nativos em nuvem que combina recursos CSPM com recursos CWPP (plataforma de proteção de carga de trabalho em nuvem). O objetivo dos CNAPPs é aplicar segurança e conformidade de forma holística em toda a infraestrutura de nuvem e cargas de trabalho em nuvem para identificar e corrigir riscos em toda a pilha de soluções.
Notavelmente, os CNAPPs que se integram ao Kubernetes fortalecem a capacidade de uma organização de criar, implantar, executar e dimensionar aplicativos nativos da nuvem com segurança e conformidade em infraestruturas locais, híbridas e de nuvem. Existem vários projetos do Kubernetes projetados para melhorar a segurança, a observabilidade e a governança. O investimento da comunidade nesse espaço está crescendo à medida que as organizações implantam cada vez mais vários clusters Kube e expandem o uso da plataforma além dos limites organizacionais.
O SPIFFE/SPIRE, por exemplo, percorre um longo caminho para resolver o problema de identidade de ponta a ponta, enquanto o Sigstore facilita a assinatura criotográfica ao longo da cadeia de suprimentos. Existem oportunidades para combinar muitos desses projetos para benefícios ainda maiores. Tekton Chains usa Sigstore para assinatura e atestado dos artefatos produzidos por um pipeline Tekton. O projeto Tekton também está investindo no uso do SPIFFE/SPIRE para fornecer identidades para pods TaskRun e assinar os objetos de tarefa para garantir que as próprias tarefas não sejam adulteradas.
Política de automação
As organizações também devem pensar em termos de governança automatizada baseada em políticas, gerenciamento de riscos e conformidade sempre e sempre que possível. Assim como pontes estão sendo criadas entre soluções de segurança historicamente isoladas, as equipes de DevOps devem construir pontes entre organizações historicamente isoladas. As equipes de DevOps devem se tornar equipes de DevSecOps adotando uma abordagem proativa para gerenciar a segurança e a conformidade em todo o ciclo de vida do aplicativo e da plataforma, bem como na cadeia de suprimentos do aplicativo.
Procure soluções que ajudem a fornecer proteções automatizadas para seus desenvolvedores nas ferramentas que eles usam todos os dias, para que os aplicativos possam ser protegidos antes de serem implantados. Muitos desenvolvedores não têm uma sólida base de conhecimento de conformidade e segurança, portanto, quanto mais orientações as soluções puderem fornecer, melhor. Da mesma forma, procure soluções que ajudem a fornecer proteções automatizadas para equipes que gerenciam a infraestrutura como código para que a infraestrutura possa ser fortalecida no momento da implantação. Aproveite as soluções que simplificam a adoção de práticas de segurança com padrões padrão para desenvolvedores, infraestrutura e equipes de segurança com base na experiência do setor com políticas prontas para uso e recursos de resposta integrados.
Conclusão
Cada vez mais organizações estão gerenciando soluções em várias nuvens, incluindo nuvem pública e local, para criar agilidade e escalabilidade nos negócios. O gerenciamento de soluções em várias nuvens pode criar trabalho adicional e sobrecarga para as equipes de infraestrutura, aplicativos e segurança. As organizações que investem em infraestrutura de nuvem multicloud e híbrida se beneficiarão de soluções que lhes permitem implementar práticas de governança, conformidade e segurança automatizadas e baseadas em políticas de maneira comum em ambientes de nuvem. Procure soluções que possam ser utilizadas ao longo do ciclo de vida e da pilha; soluções que criam pontes, fornecendo orientação para equipes individuais nas ferramentas que usam todos os dias. Isso pode criar loops de feedback e soluções que permitem a colaboração entre as partes interessadas com uma linguagem comum.
FONTE: DARK READING