Sobre o que estamos falando? Multicloud é uma estratégia que integra diferentes provedores de nuvem…
DevSecOps: os quatro pilares e melhores práticas
Segurança não é custo, é investimento. O acréscimo do termo Sec ao já conhecido DevOps, integra num fluxo contínuo, permitindo que o estabelecimento de uma cultura de segurança é o primeiro passo para garantir que as práticas de DevOps incorporem as melhores práticas de segurança durante as entregas contínuas nos vários sprints.
De acordo com paper da ACM, a premissa para que essa integração e sinergia ocorram é a existência de uma comunicação sem ruídos e a confiança entre as diferentes partes como elemento fundamental dentro de uma cultura de colaboração.
Por exemplo, o deploy de uma aplicação em produção exige vários componentes de segurança, entre eles:
– Integração de verificadores para os containers e automação de testes no processo de CI/CD
– Criptografia do fluxo de dados das diversas aplicações e serviços em produção, com a adoção de Gateways de APIs visando garantir a máxima segurança no ambiente de Cloud Computing.
– Automação do processo de gerenciamento de configuração de infraestrutura, sistemas e serviços é possibilitada peio uso de ferramentas automatizadas que fazem a identificação dos riscos de segurança.
– Criação de uma cultura de segurança que trate os riscos de forma adequada para sua minimização.
– Estabelecimento de rotina de testes automatizados dentro do processo de teste de aceitação.
Segundo paper do IEEE, existem 4 pilares para as práticas de DevSecOps serem bem sucedidas, que são: “cultura, automação, compartilhamento e medição”.
Os 4 pilares fornecem um guia de como promover a sinergia e alinhamento organizacional necessários para fazer a colaboração ser uma realidade, sendo um assessment de segurança ser altamente recomendado de ser realizado antes do início de cada projeto afim de definir os melhores processos e ferramentas capazes de suportar sua execução.
O DevSecOps permite melhor controle do risco de diversos aspectos de segurança de aplicações e de infraestrutura desde o início de seu ciclo de desenvolvimento de forma integrada, com a análise de vulnerabilidades provendo maior integridade e segurança no processo.
Assim, a existência de uma cultura de colaboração entre os envolvidos é uma condição essencial para que os processos e fluxos de trabalho possam ser melhor organizados entre as diferentes equipes trabalhando em times híbridos de forma contínua, promovendo assim a coesão de todos no mesmo objetivo e responsabilidade compartilhada quanto aos requerimentos de segurança necessários para garantir o compromisso de todos com a confidencialidade, integridade e disponibilidades dos dados utilizados entre aplicações e serviços em produção.
Referências:
Comments (0)