Práticas de conformidade
Aplicações cloud native têm elevado o patamar em termos de agilidade e escalabilidade para muitas organizações. Essa expansão carrega consigo maiores riscos e dificuldades não apenas no gerenciamento de recursos na nuvem, como também na manutenção da conformidade (compliance) para um portfolio de ativos que tende a ser cada vez maior.
A partir desses desafios, que envolvem implementação de containers e de indicadores de observabilidade, são sumarizadas cinco práticas recomendadas para equipes DevSecOps que buscam garantir a conformidade em um ambiente de nuvem cloud native.
#1. Crie um inventário de ativos e recursos
Não se protege aquilo que não se pode ver. Se você não tem tudo muito bem mapeado, também não está sendo protegido. E, no caso de um ambiente de nuvem, isso pode significar centenas ou mesmo milhares de instâncias.
Por isso, em qualquer processo de inventário há três perguntas principais a serem feitas:
- Quais ativos/recursos pertencem à minha organização?
- Onde estão esses ativos e quem tem acesso a eles?
- Como fazer o acompanhamento de novos recursos ou mesmo dos existentes?
- As outras partes interessadas (equipes de conformidade e DevSecOps) estão no circuito para entender esses ativos sob a ótica deles?
Em um ambiente de nuvem, automatizar o processo de descoberta e visibilidade é essencial. Uma Cloud Native Application Protection Platform (CNAPP) faz a digitalização, catalogação e monitoração de ambientes de nuvem em tempo real, eliminando pontos cegos e trazendo à tona o verdadeiro estado da rede. A abordagem da plataforma também permite visualizar as alterações na nuvem de diferentes perspectivas, direcionando chamadas à ação para atender a necessidades específicas.
#2. Indicadores de Observabilidade para todos os recursos
Depois de mapear os ativos, podemos passar a monitorar o estado de cada um a partir de indicadores de observabilidade. A observabilidade monitora em tempo real o estado de cada recurso, com base nos seguintes pontos:
- Estado de cada um dos recursos
- Se o estado de qualquer recurso mudar, como ser informado a respeito?
- Uma solução de observabilidade deve não apenas agregar grandes quantidades de dados, como também fornecer acesso rápido a esses dados;
- Deve também analisar e gerar estatísticas significativas com base nesses dados.
Em termos de compliance, a dica é empregar uma solução de observabilidade que possa fornecer dashboards de conformidade para benchmarks do Center for Internet Security (CIS).
#3. Plano de detecção e resposta a ameaças
Agora que os recursos estão sendo observados, é hora de estabelecer um plano de como responder e mitigar ameaças. Antes que um ataque ocorra, um plano deve ser estabelecido – tanto para detectar ameaças em andamento quanto para responder às que forem detectadas.
Para a detecção de ameaças, o tempo é crucial, já que as organizações precisam responder rapidamente a qualquer (possível) ataque. Os problemas de conformidade são semelhantes às ameaças, pois devem ter detecção e correção em tempo real. O melhor CNAPP inclui monitoramento de conformidade, o que significa que qualquer problema de compliance pode ser descoberto rapidamente e em tempo real. A partir daí, o sistema pode fornecer etapas de remediação e informações detalhadas, tornando a correção de conformidade mais veloz para as equipes DevSecOps.
#4. Rastrear e monitorar configurações
Intrusões na nuvem geralmente ocorrem por conta de um ativo mal configurado. Assim, como o software e as plataformas são continuamente atualizados e novas vulnerabilidades de segurança são descobertas, a configuração e a conformidade precisam ser validadas e monitoradas em tempo real. Também não basta configurar um ativo uma vez e confiar que ele permanecerá em conformidade. Devemos perguntar: se a configuração de algum ativo mudar, como vamos saber disso? A dica é monitorar as configurações em tempo real. O melhor CNAPP não apenas monitora, como também recomenda configurações e etapas de correção para quaisquer problemas conhecidos.
#5. Adote uma estratégia de governança de dados
Uma estratégia adequada de governança de dados é imprescindível. Para uma governança de dados adequada, é preciso haver uma clara compreensão sobre como os dados são adquiridos, transmitidos e armazenados — e isso deve ser feito em escala. Isso se aplica não apenas aos dados de das aplicações mas também aos metadados gerados por soluções de segurança na medida em que fazem o monitoramento das aplicações.
Boas práticas DevSecOps é fundamental
É claro que, em se tratando de DevSecOps, é importante garantir que a segurança esteja incorporada em todo o processo. Isso significa que a segurança deve ser considerada desde a fase de projeto até o deploy e manutenção da aplicação. Mas não só: seguir as boas práticas recomendadas assegura os processos corretos para garantir que a segurança das aplicações seja mantida.
Entre as boas práticas DevSecOps destacam-se:
- Automatizar processos de segurança e integrá-los ao pipeline DevOps
- Implementar ferramentas de verificação de segurança para detectar vulnerabilidades
- Usar soluções de segurança de containers para proteger containers
- Implementação de Integração Contínua/Entrega Contínua (CI/CD)
- Definir políticas de segurança para toda a organização
- Usar análise de composição de software para identificar componentes de código aberto
- Adotar práticas seguras de codificação
Existem inúmeras ferramentas disponíveis no mercado atualmente para automatizar o pipeline DevOps. Listamos as principais delas neste artigo.
