0
0
A maior adoção da infraestrutura em nuvem por empresas que buscam melhorar a agilidade e apoiar uma força de trabalho híbrida levou a mais equipes de desenvolvimento a adotar a segurança como código como uma maneira de construir segurança em softwares e produtos.
No último ano, por exemplo, o Google pressionou a segurança como código como um componente fundamental de suas ofertas em nuvem, identificando em janeiro a “infraestrutura definida por software” como uma das oito megatendências que impulsionam a segurança da nuvem. A configuração de segurança de codificação como código que pode ser uma entrada nos processos de desenvolvimento e implantação permite que as organizações analisem sua configuração de segurança, alterem e reimplantem facilmente e monitorem continuamente o estado de sua configuração de segurança para avaliar se corresponde às políticas.
O resultado é a configuração de segurança analisável e controles continuamente verificáveis, diz Phil Venables, vice-presidente do Google e CISO do Google Cloud.
“A grande coisa sobre segurança como código é que você sabe que a configuração que você implantou corresponde exatamente ao que você especificou e analisou como atender aos seus requisitos de segurança”, diz ele. “Muitas violações lá fora não são necessariamente o resultado de um risco desconhecido, mas geralmente são o resultado de algum controle que a organização pensou que não tinham sido implantadas e operando quando mais precisavam.”
O security-as-code é uma extensão do movimento de infraestrutura como código que surgiu à medida que redes e sistemas definidos por software se tornaram mais populares. As equipes da DevOps adotaram a infraestrutura como código como padrão de fato para a construção e implantação de software, contêineres e máquinas virtuais, mas agora as empresas estão apostando que a mudança para a infraestrutura nativa da nuvem tornará a segurança como código uma parte fundamental de uma abordagem sustentável da segurança.
Como funciona a segurança como código
Em 2021 a consultoria McKinsey and Company identificou a segurança como código como talvez a única maneira de proteger a aplicação e a infraestrutura em nuvem na velocidade com que as empresas modernas se movem.
“Capturar valor na nuvem requer que a maioria das empresas construa um motor de transformação … integrar a nuvem aos negócios e tecnologias, impulsionar a adoção em domínios prioritários de negócios e estabelecer os recursos fundamentais necessários para dimensionar o uso em nuvem de forma segura e econômica”, escreveu a consultoria em um documento de posição. “O SaC é o mecanismo para desenvolver recursos fundamentais em segurança em nuvem e gerenciamento de riscos.”
O Google pretende tornar o conceito muito mais funcional e parte de qualquer infraestrutura em nuvem. Em novembro, a Equipe de Ação de Cibersegurança da empresa anunciou uma solução de Risco e Conformidade como Código (RCaC).
As empresas que adotaram o DevOps sabem que as compilações de software repetíveis dependem de ser capazes de especificar a configuração de elementos de infraestrutura — sejam aplicativos de software, compilações de pipeline ou contêineres — como código em um arquivo. Essa abordagem de infraestrutura como código permite que desenvolvedores e especialistas em operações expressem e analisem a configuração antes de ser implantada.
O security-as-code visa fazer a mesma coisa por segurança, em uma abordagem que muitos chamaram de DevSecOps. O código de segurança expressa a configuração de segurança de uma variedade de elementos, incluindo quais testes de segurança devem ser realizados, os critérios para varredura de vulnerabilidades, requisitos de criptografia e controles de acesso.
Como isso afeta os SBOMs?
O Google vê os esforços atuais para tornar as contas de software de materiais (SBOMs) mais explícitas e funcionais como um componente-chave do futuro do software como código. Os componentes de um programa de software poderiam ser analisados durante qualquer compilação e as políticas descritas no arquivo de código de segurança seriam aplicadas. O uso de um componente vulnerável a uma ameaça específica, como o Log4j, pode parar a compilação. Outros requisitos, como um alto nível nos Níveis de Cadeia de Suprimentos para Artefatos de Software (SLSA), também podem ser especificados, diz Venable, do Google.
“Esse mecanismo permite que você comece a tomar decisões mais ricas”, diz ele. “Essa programação do ambiente para fazer cumprir a política de segurança é bastante transformadora em comparação com o que qualquer um de nós costumava fazer em ambientes tradicionais no local.”
O Google é acompanhado por outros que estão abrindo caminho para a arena de segurança como código. O crescente movimento para codificar a segurança como um arquivo de configuração que pode ser incrementalmente melhorado levou a empresa de segurança Tenable Network Security a adquirir a Accurics, uma fabricante da tecnologia de segurança como código.
“É muito mais eficaz encontrar e corrigir os problemas no ponto de criação em código, em vez de onde eles se manifestam na nuvem”, disse Renaud Deraison, diretor de tecnologia da Tenable Network Security, em um blog anunciando a aquisição. “Desta forma, podemos garantir que o que está implantado seja seguro por padrão e que quaisquer correções sejam uma simples solicitação de mesclagem, em vez de um patch ou reflexão operacional.”
Nem todos estão convencidos de que as configurações de segurança serão codificadas em código tão cedo. Embora os arquivos de configuração viajando junto com componentes de infraestrutura definidos por software possam trazer benefícios significativos — como a capacidade de auditoria e o gerenciamento aprimorado de mudanças — as empresas ainda são muito reacionárias para adotar a tecnologia, diz Brian Fox, diretor de tecnologia e co-fundador da Sonatype, uma empresa de gerenciamento de software e segurança.
Serviços de análise de composição de software (SCA) que podem automatizar a identificação de componentes de software de risco — um serviço que o Sonatype fornece — fornecem alguns dos benefícios automatizados da segurança como código. A maioria das empresas não tem ideia nem de quais componentes compõem seu software, diz a Fox.
“Estamos super no início do ciclo de adoção com isso”, diz ele. “Todas as razões pelas quais a infraestrutura como código fazia sentido farão sentido com a segurança como código, mas a indústria ainda não está lá, porque muitas pessoas não têm os mecanismos para fazer isso, não importa fazê-lo como código.”
FONTE: DARK READING