Security as Code nunca foi tão importante

Cristina De Luca -

Agosto 06, 2021

As arquiteturas de segurança cibernética e os modelos operacionais existentes se desintegram à medida que as empresas adotam plataformas de nuvem pública. Por quê? Quase todas as violações na nuvem resultam de configuração incorreta, mais até do que de ataques que comprometem a infraestrutura.

A nuvem requer configuração segura de aplicativos e sistemas. Mas os mecanismos tradicionais de segurança cibernética não foram projetados para garantir uma configuração segura ou operar no ritmo necessário para capturar os benefícios de agilidade e velocidade que os líderes de negócios esperam.

“Security as Code” (SaC) tem sido a abordagem mais eficaz para proteger cargas de trabalho em nuvem com velocidade e agilidade. Nesse ponto, a maioria dos líderes em nuvem concorda que a infraestrutura como código (IaC) permite automatizar a construção de sistemas na nuvem sem configuração manual sujeita a erros, garante a McKinsey.

Vale ressaltar, no entaanto, que implementar SaC não significa eliminar o monitoramento e a proteção de segurança na produção, testes de penetração ou equipes de hackers éticos. A segurança como código apenas adicionará outra camada de segurança junto com a contribuição de outras equipes e ferramentas mais focadas na segurança. Olhe para a segurança como código como uma das três maneiras principais de integrar a segurança ao processo de DevOps.

Ambientes virtuais, nuvens híbridas e sistemas específicos do cliente criam mundos de TI complexos. Muitos problemas de TI exigem medidas de reparo manuais extensas e a cooperação de administradores de TI clássicos e DevOps. Os problemas que ocorrem durante as operações de TI são resolvidos imediatamente por meio da extensa automação de vários processos de TI.

A adoção do Security as Code une fortemente o desenvolvimento de aplicativos ao gerenciamento de segurança, ao mesmo tempo que permite que seus desenvolvedores se concentrem nos recursos e funcionalidades principais e simplifica o gerenciamento de configuração e autorização para as equipes de segurança. Isso melhora a colaboração entre as equipes de desenvolvimento e segurança e ajuda a fomentar uma cultura de segurança em toda a organização.

Os analistas de mercado costumam dizer que o SaC dá um passo adiante, definindo políticas e padrões de segurança cibernética de maneira programática, para que possam ser referenciados automaticamente nos scripts de configuração usados ​​para provisionar sistemas em nuvem e sistemas em execução na nuvem podem ser comparados com políticas de segurança para evitar “desvios”.

Se a empresa, por exemplo, estabelecer uma política de que todas as informações de identificação pessoal (PII) devem ser criptografadas quando armazenadas, essa política é traduzida em um processo que é iniciado automaticamente sempre que um desenvolvedor envia o código. O código que viola a política de PII é rejeitado automaticamente.

Como implementar

Security as Code geralmente vem em três formas diferentes: teste de segurança, varredura de vulnerabilidade e políticas de acesso. Cada um deles permite que suas equipes de engenharia entendam e corrijam problemas de segurança no início do desenvolvimento, em vez de esperar até que o projeto esteja pronto para ser enviado e seja bloqueado devido a questões de segurança. Quando você adota a mentalidade de Segurança como Código, está codificando a colaboração diretamente onde suas equipes de desenvolvimento estão trabalhando. A segurança como código eleva as equipes de desenvolvimento e segurança juntas para permitir que cada uma se concentre em seus principais pontos fortes.

A varredura de vulnerabilidades, ao contrário dos testes de segurança, concentra-se mais nas fraquezas de segurança que um invasor pode explorar. Vulnerabilidades como SQL Injection, Cross-site scripting, etc., são algo que os invasores procuram regularmente em um aplicativo. A verificação de vulnerabilidades ajuda a identificar vulnerabilidades conhecidas em seu aplicativo, que podem ser corrigidas. Você pode começar executando scanners de vulnerabilidade no início, mas depois de um certo ponto de tempo, eles serão de pouca ajuda. Depois de correções e atualizações regulares, quase nada aparecerá nessas varreduras. Você deve então considerar programas de pentesting ou de bug bounty.

Os testes de segurança se concentram em testar o código para ver se há um problema que possa ser uma ameaça à confidencialidade , integridade e disponibilidade ( tríade CIA) do aplicativo. Um mal-entendido comum é que os testes de segurança são feitos para prevenir ataques. Mas a segurança é mais do que apenas prevenir ataques. Também inclui mau funcionamento acidental, violação de dados e muito mais que não incluiria um invasor. Por exemplo, uma falha ou mau funcionamento de um servidor ou firewall é um problema de segurança, mesmo que não envolva um invasor. O teste de segurança é o processo de certificar-se de que o aplicativo está seguro e protegido de qualquer risco de segurança. Você pode fazer isso configurando padrões de segurança e testar se seu aplicativo atende a esses padrões.

O controle de acesso e o gerenciamento de políticas são usados para definir esses limites dentro da lógica e do fluxo do aplicativo. Por exemplo, um usuário que tenta comprar algo em um site de comércio eletrônico não deve ser capaz de modificar o preço do produto. A capacidade de modificar o preço deve ser permitida apenas a administradores ou proprietários. Essas lógicas são controladas por controle de acesso e gerenciamento de políticas.

Benefícios

O primeiro benefício do SaC é a velocidade. Para perceber completamente os benefícios da nuvem para os negócios, as equipes de segurança devem se mover em um ritmo ao qual não estão acostumadas em ambientes locais. A intervenção manual introduz atrito que retarda o desenvolvimento e corrói a proposta geral de valor da nuvem para os negócios.

O segundo benefício é a redução do risco. Os controles de segurança locais simplesmente não levam em consideração as nuances da nuvem. A segurança da nuvem requer que os controles se movam com uma carga de trabalho ao longo de todo o seu ciclo de vida. A única maneira de atingir esse nível de segurança integrada é por meio do SaC.

Finalmente, o SaC é um facilitador de negócios. Os requisitos de segurança e conformidade estão se tornando cada vez mais centrais para os principais produtos e serviços das empresas. Nesse sentido, o SaC não apenas acelera o tempo de entrada no mercado, mas também expande as oportunidades de inovação e criatividade do produto sem comprometer a segurança.