Ciclo de vida seguro de conteiners

Sobre o autor: Guilherme Teles é um cara qualquer que não dorme direito e acaba escrevendo. Sou Certificado CISSP, CHFI, CEH, LPIC-3, AWS CDA, AWS SAA, AWS SOA Quer assinar a newsletter do site e receber esse e outros artigos? Clique aqui! Aproveite e navegue pelo smeu blog. Quem sabe você não está exatamente precisando de uma ajuda ?  

De acordo com uma pesquisa realizada pela CSA e a DevSecOps Community com mais de 5.500 profissionais de TI, apenas 24% das empresas com práticas DevOps maduras integraram e automatizaram a segurança em seu pipeline de DevOps – isso cai para 3% para quem não tem uma prática de DevOps.

Embora a mudança para integrar a segurança no processo de desenvolvimento seja uma grande mudança na cultura, os benefícios da conformidade com a segurança e as eventuais economias de custo superam em muito o atrito inicial.

Mas, infelizmente, esse é um caso para diferentes postagens e apresentações.

O ponto do artigo de hoje é incorporar segurança ao ciclo de vida completo dos contêineres. Os contêineres são usados ​​por mais e mais organizações de DevOps para proteger seus aplicativos e fornecer gerenciamento de servidor mais consistente. John Morello, CTO da Twistlock, apresentou na 2018 Nexus User Conference a importância de proteger os contêineres em todo o ciclo de vida do software.

Como John aponta em sua palestra, os contêineres têm características que os tornam mais seguros. Eles são mínimos, então é mais fácil entender o que está dentro. Eles são declarativos, por isso é melhor documentado, por padrão, desde que você tenha que escrever o manifesto para construí-lo. Finalmente, é previsível porque faz a mesma coisa, de executar para matar.

Claro, você ainda precisa proteger os contêineres, e há algumas coisas que você precisa estar ciente.

Primeiro, você tem muito mais entidades e há uma alta taxa de mudança. Como John observa, com um aplicativo multicamada, você pode ter um punhado de VMs. Para fazer o mesmo corretamente com os contêineres, você pode ter dezenas de contêineres para dividir seu aplicativo em microsserviços.

Além disso, a segurança está em grande parte nas mãos dos desenvolvedores. Como um contêiner é uma imagem imutável que o desenvolvedor configura, o desenvolvedor se torna responsável por atualizar a pilha inteira.

Por causa disso, você pode precisar de novas ferramentas, pois provavelmente elas não são reconhecidas pelo contêiner e, mesmo que sejam, elas não podem ver o fluxo ascendente no pipeline de Integração Contínua. Agora, com o Nexus e ferramentas como o Twistlock, você pode ver dentro de cada compilação, incluindo dados sobre vulnerabilidades, e sua equipe de segurança pode definir políticas e forçar a falha da compilação antes mesmo de deixar o ambiente. Simples né ?

Então, como você efetivamente protege aplicativos nativos da nuvem? John observa que a única maneira é através do aumento do conhecimento, responsabilidade e fiscalização, e você obtém isso aumentando o ciclo de vida (mudando para a esquerda) em vez de em produção.

Esta não é uma mudança técnica, mas uma mudança de pessoas e processos. As ferramentas existem há anos – você tem que construí-las no dia-a-dia, no que todo mundo faz naturalmente.

A Docker, a empresa de contêineres de destaque, tem o lema de “construir, transportar, operar”.

Se um desenvolvedor tiver que sair do ambiente de desenvolvimento de desenvolvimento para verificar vulnerabilidades, isso aumentará o atrito. Esse atrito significa que algumas pessoas ignoram isso. No entanto, quando é uma parte natural do processo, a conformidade aumenta.

O gerenciamento de vulnerabilidades também significa ter bloqueio automatizado e orientado por políticas de construções e implementações quando as vulnerabilidades são encontradas. Quando isso é feito durante a criação, é o menor custo e esforço para resolvê-lo e não expõe o ambiente de produção.

Com construções e implantações automatizadas e orientadas por políticas, a conformidade também aumenta, pois os erros e as emoções humanas são minimizados. Ferramentas, como o Nexus, podem impor regras de lista de permissões e gerenciar ameaças automaticamente, e as políticas não são ignoradas por conveniência ou inadvertidamente mal aplicadas devido a erro humano ou mal-entendido.

Isso tudo dá aos auditores a tranquilidade, porque eles sabem que as verificações estão acontecendo e as políticas estão sendo impostas de forma consistente e com uma trilha de papel digital.

As ferramentas, como produtos Nexus e Twistlock, permitem e reforçam a cultura e as políticas.

 

Sobre o autor: Guilherme Teles é um cara qualquer que não dorme direito e acaba escrevendo. Sou Certificado CISSP, CHFI, CEH, LPIC-3, AWS CDA, AWS SAA, AWS SOA Quer assinar a newsletter do site e receber esse e outros artigos? Clique aqui! Aproveite e navegue pelo smeu blog. Quem sabe você não está exatamente precisando de uma ajuda ?