Segurança da Informação

Dicas para integrar segurança em DevOps

Imagine um mundo onde os PO´s, Desenvolvimento, Controle de Qualidade, Operações de TI e Segurança trabalhem juntos, to falando sério!. Apenas imagine.

Não apenas para ajudar uns aos outros, mas também para garantir que a organização geral seja bem-sucedida. Seria muito legal não ?

Ao trabalhar em direção a um objetivo comum, eles permitem o fluxo rápido do trabalho planejado para a produção (por exemplo, executando dezenas, centenas ou até milhares de implementações de código por dia), além de atingir estabilidade, confiabilidade, disponibilidade e segurança.

Neste mundo, a Segurança da Informação está sempre trabalhando em maneiras de reduzir o atrito para a equipe, criando os sistemas de trabalho que permitem que os desenvolvedores sejam mais produtivos e obtenham melhores resultados. Ao fazer isso, as pequenas equipes podem aproveitar totalmente a experiência coletiva e o conhecimento não apenas da Segurança da Informação, mas também de QA e de Ops, em seu trabalho diário sem depender de outras equipes, implantando com segurança, segurança e rapidez na produção.

Isso permite que as organizações criem um sistema de trabalho seguro, no qual as equipes pequenas são capazes de desenvolver, testar e implantar de maneira rápida e independente um código e com valor de forma rápida, segura, confiável e confiável para os clientes. Isso permite que as organizações maximizem a produtividade do desenvolvedor, possibilitem o aprendizado organizacional, criem alta satisfação dos funcionários e conquistem o mercado.

Em vez de injetar segurança em nosso produto no final do processo, é interessante que criemos e integremos controles de segurança no trabalho diário de Desenvolvimento e Operações, para que a segurança faça parte do trabalho todos os dias.

A necessidade de multiplicação de força

Uma interpretação do DevOps é que veio da necessidade de permitir a produtividade dos desenvolvedores, porque conforme o número de desenvolvedores cresceu, não havia pessoas suficientes do Ops para lidar com todo o trabalho de implantação resultante.

Essa escassez é ainda pior na Segurança da Informação. E este ultimo deve entender porque desesperadamente precisa de DevOps:

A proporção de engenheiros em Desenvolvimento, Operações e Segurança da Informação em uma organização de tecnologia típica é de 100: 10: 1. Quando a Segurança da Informação está em menor número, sem automação e integrando a segurança das informações no trabalho diário do Dev e Ops, a Segurança da Informação só pode fazer verificação de conformidade, o que é o oposto da engenharia de segurança e também faz todo mundo os odiar.

Integre a segurança nas demonstrações de iteração de desenvolvimento:
Aqui está uma maneira fácil de impedir que o Segurança da Informação seja um bloqueador no final do projeto. Convide a Segurança da Informação em demonstrações de produtos no final de cada intervalo de desenvolvimento. Isso ajuda todos a entender as metas da equipe relacionadas a metas organizacionais, ver suas implementações durante o processo de criação e oferece a oportunidade de oferecer informações sobre o que é necessário para atingir os objetivos de segurança e conformidade, enquanto ainda há tempo suficiente para fazer correções.

Garanta que o trabalho de segurança esteja em nossos sistemas de rastreamento de trabalho Dev e Ops.
O trabalho do Segurança da Informação deve ser tão visível quanto todos os outros trabalhos no fluxo de valor. Podemos fazer isso rastreando-o no mesmo sistema de acompanhamento de trabalho que o Desenvolvimento e as Operações usam diariamente para que possa ser priorizado ao lado de todo o resto.

Integre controles de segurança preventiva em repositórios de código fonte compartilhados e serviços compartilhados.
Os repositórios compartilhados de código-fonte são uma maneira fantástica de permitir que qualquer pessoa descubra e reutilize o conhecimento coletivo da organização, não apenas para código, mas também para um repositorio, pipeline de implementação, padrões e segurança, etc. As informações de segurança devem incluir quaisquer mecanismos ou ferramentas para proteger aplicativos e ambientes, como bibliotecas pré-liberadas pela segurança, a fim de atender a seus objetivos específicos. Além disso, colocar artefatos de segurança no sistema de controle de versão que o Dev e o Ops usam diariamente mantém as necessidades de segurança em seus radares.

Integre a segurança ao pipeline de implantação.
Para manter os assuntos da Segurança da Informação em destaque no Dev e no Ops, queremos dar continuamente a essas equipes feedback rápido sobre os possíveis riscos associados ao código. A integração da segurança ao pipeline envolve a automação de tantos testes de segurança quanto possível, para que eles sejam executados ao lado de todos os outros testes automatizados. Idealmente, esses testes devem ser executados em cada código confirmado por Dev ou Ops e até mesmo nos estágios iniciais de um projeto de software.

Proteja o pipeline de implementação contra códigos maliciosos.
Infelizmente, códigos maliciosos podem ser injetados nas infraestruturas que suportam CI / CD. Um bom lugar para ocultar esse código é em testes de unidade, porque ninguém os observa e porque são executados sempre que alguém envia um código para o repositório. Podemos (e devemos) proteger os pipelines de implementação através de etapas como:

  • Protegendo servidores de CI/CD para que possamos reproduzi-los de maneira automatizada
  • Revisando todas as alterações introduzidas no controle de versão para impedir que servidores de integração contínuos executem código não controlado
  • Instrumentando o repositório para detectar quando o código de teste contendo chamadas de API suspeitas

Proteja seus aplicativos.
O teste de desenvolvimento geralmente se concentra na exatidão da funcionalidade. A Segurança da Informação, no entanto, muitas vezes se concentra em testar o que pode dar errado. Em vez de executar esses testes manualmente, tente gerá-los como parte de testes unitários ou funcionais automatizados para que possam ser executados continuamente no pipeline de implementação. Também é útil definir padrões de design para ajudar os desenvolvedores a escrever códigos para evitar o não uso de melhores práticas de desenvolvimento seguro.

Proteja a cadeia de suprimentos de software.
Não é suficiente proteger nossos aplicativos, ambiente, dados e nossos canais. Também precisamos garantir a segurança de nossa cadeia de fornecimento de software, especialmente à luz de estatísticas surpreendentes sobre o quão vulnerável ela é. Embora o uso e a dependência de componentes comerciais e de código aberto sejam convenientes, também é extremamente arriscado. Ao selecionar o software, é essencial detectar componentes ou bibliotecas que tenham vulnerabilidades conhecidas e trabalhe com os desenvolvedores para selecionar cuidadosamente os componentes com um histórico de correção rápida.

Proteja seus ambientes.
Precisamos garantir que todos os nossos ambientes estejam em um estado de hardening e com risco reduzido. Isso envolve a geração de testes automatizados para garantir que todas as configurações apropriadas tenham sido corretamente aplicadas para proteção de configuração, segurança do banco de dados, comprimentos de chave e assim por diante. Também envolve o uso de testes para verificar ambientes em busca de vulnerabilidades conhecidas e usar um scanner de segurança para mapeá-los.

Integrar a segurança da informação na telemetria de produção.
Os controles de segurança interna geralmente são ineficazes na detecção rápida de violações devido a pontos cegos no monitoramento ou porque ninguém está examinando a telemetria relevante todos os dias. Para adaptar, integre a telemetria de segurança nas mesmas ferramentas que o Desenvolvimento, o Controle de Qualidade e as Operações usam. Isso dá a todos na fila visibilidade sobre o desempenho de aplicativos e ambientes em um ambiente de ameaças hostis, em que os invasores tentam constantemente explorar vulnerabilidades, obter acesso não autorizado, restaurar backdoors e cometer fraudes.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *