Como o processo de desenvolvimento pode ter segurança e velocidade

Em 25 de junho de 2019, ocorreu o Webinar Segurança na Velocidade do DevOps. Apresentado pelo CIO da ITWC, com patrocínio da Trend Micro do Canadá, nesta apresentação foi discutido como as empresas podem integrar segurança no processo de DevOps para que possam avançar com velocidade e segurança. Os comentários técnicos foram feitos pelo Fernando Cardoso, arquiteto de soluções da Trend Micro.

O que é DevOps e porque você precisa disso

Para serem competitivas no cenário atual, as empresas precisam se tornar mais rápidas na publicação de seus aplicativos para seus usuários. Muitos estão incorporando o DevOps para melhorar sua agilidade.

A Microsoft define DevOps como sendo “a união de pessoas, processos e produtos para permitir a entrega contínua de valor agregado para usuários”. O objetivo principal é melhorar a colaboração com as equipes de TI para trazer o melhor produto para os consumidores, afirmou Fernando ao começo da sessão.

Qual o atual estado do DevOps em sua organização?[

O DevOps ainda é um fenômeno em desenvolvimento para muitas empresas no mundo inteiro. Em pesquisa realizada no Brasil, 35% dos participantes declararam que já haviam implantado a metodologia em suas empresas, enquanto 53% ainda estavam em processo de implementação e somente 6% planejavam implementar nos próximos 12 meses. Os demais não tinham perspectivas de implantação no curto prazo.

Contudo, embora ela seja uma forma eficiente de se acelerar o desenvolvimento, diz Cardoso, há um risco envolvido, caso não sejam tomadas certas medidas de segurança.

DevOps e segurança são mutuamente exclusivos?

Pode parecer que é impossível conciliar mais velocidade para desenvolver novos produtos com a aplicação das medidas adequadas de segurança.

“Um tempo atrás, os desenvolvedores iriam escrever o código, compilar e mandar para a produção sem nem olhar para trás”, afirma Cardoso. “Eram duas equipes completamente diferentes. Os desenvolvedores são pressionados para criar aplicações enquanto a área de operações precisa manter todas rodando sem downtime. E isso gera atrito entre estas duas realidades”. 

As organizações precisam atuar para eliminar as barreiras naturais entre essas duas equipes; para isso, o melhor caminho é investir em colaboração e treinamento.

Quanto sua equipe de segurança entende de automação e das novas tecnologias de DevOps como Docker, Kubernetes, Serverless etc.?

Em outra pesquisa, foi perguntado o quanto as equipes de segurança conheciam de automação e das ferramentas mais recentes de DevOps, como Docker, Kubernetes e Serverless. Sessenta por cento afirmou que elas conheciam razoavelmente, com 3% afirmando que não conheciam nada e outros 37% dizendo que tinham pouco conhecimento.

É raro encontrar equipes de segurança com amplos conhecimentos destes temas, afirma o especialista. “Equipes de segurança e DevOps precisam falar a mesma língua. Eu sempre recomendo às equipes de segurança aprender mais sobre desenvolvimento, elas precisam estar envolvidas desde o primeiro momento, precisam entender do DevOps e atualizar suas ferramentas”.

 Não se esqueça da segurança na hora de atualizar a arquitetura

A arquitetura que dá sustentação às aplicações tem mudado rapidamente, afirma Fernando. “As organizações estão abandonando modelos monolíticos, que precisam de um sistema operacional para cada aplicação, pois são muito pesados”.

Ao invés disso, hoje elas estão usando microsserviços com contêineres para cada aplicação, rodando todos eles em um mesmo OS, segundo o especialista da Trend Micro. “Com os microsserviços, começamos a usar pedaços do código, ou então dividimos um código grande em menores, e usamos um contêiner para cada área. Quando precisamos atualizar uma aplicação, só trabalhamos naquele contêiner específico. Isso é muito importante para os negócios de hoje em dia”.

Por exemplo, as aplicações do site da Amazon funcionam em contêineres, segundo Cardoso. “Cada função de busca é um serviço em um contêiner. O carrinho é outro serviço, em outro contêiner; se é necessário fazer alguma mudança na busca, é só trabalhar naquele contêiner, sem afetar as demais funções”.

O uso de contêineres permite que as empresas se tornem muito mais ágeis. “Cada app no futuro vai ser um microsserviço”, comenta o especialista. Os participantes de uma das pesquisas feitas durante a apresentação indicaram que estavam migrando para esta tecnologia. Oitenta por cento responderam que de uma a cinco aplicações em suas empresas já haviam sido adaptadas para rodar neste formato. Os outros 20% afirmam que ainda não usam microsserviços.

Ao mesmo tempo, o uso de contêineres – e suas respectivas ferramentas de gestão – pedem uma mudança na abordagem sobre segurança. Isso pode dificultar a adoção de um pipeline de CI/CD por algumas empresas. Na última das pesquisas feitas durante o webinar, 66% afirmaram que não sabiam se suas ferramentas poderiam ser adaptadas para a entrega contínua (CD), enquanto 33% afirmaram que achavam que elas não podiam ser adaptadas para este fim. 


Automação é a resposta

A segurança deve ser integrada ao CI/CD por meio da aplicação de diversas camadas de segurança automatizada, afirma o arquiteto. Grandes hosts de contêineres como o Kubernetes e o Docker são capazes de gerenciar os clusters e trazer uma automação em camadas em grande escala. 

Na fase antes da implantação, isso começa com um teste padrão de unidade para encontrar eventuais problemas no código e vulnerabilidades potenciais. Isso deve incluir testes estáticos e dinâmicos de segurança da aplicação para garantir que tudo esteja protegido e seguro, afirma Cardoso.

Múltiplas camadas para o pipeline de DevOps

Neste estágio, as organizações devem procurar por dependências entre aplicações, bem como por problemas como malware nos contêineres. Com a automação rodando, o processo vai ser interrompido automaticamente se forem detectados problemas de segurança, e esta informação ainda é enviada de volta aos desenvolvedores. 

Da mesma forma, camadas de segurança em tempo real são necessárias para bloquear códigos maliciosos enviados a um contêiner ou ataques a outro contêiner no mesmo host. Estas ferramentas são particularmente importantes para trazer as camadas de proteção necessárias para uma arquitetura de nuvem híbrida.

Com estas camadas de proteção no lugar, a segurança passa a fazer parte integrante do pipeline de CI/CD, permitindo às empresas avançarem com rapidez e segurança, destaca Cardoso. “Dá para ser rápido e competitivo, usando DevOps e segurança ao mesmo tempo.”

Sobre a Trend Micro

A Trend Micro Incorporated, líder global em soluções de cibersegurança, ajuda a tornar o mundo mais seguro para a troca de informação. Suas soluções inovadoras para consumidores, empresas e governos trazem segurança em camadas para data centers, ambientes de nuvem, redes e endpoints. Com quase 6.000 funcionários em mais de 50 países, a Trend Micro permite que as organizações protejam seu mundo conectado.

www.trendmicro.com

Sobre a ITBusiness.ca e a ITWC 

A ITBUsiness.ca é a fonte preferida de informação para executivos que buscam usar a tecnologia para fortalecer seus negócios – do RH ao marketing e até C-level. Trazendo um olhar amplo sobre tendências e tecnologias, o ITBusiness.ca também traz insights sobre disponibilidade de produtos, desafios em implantação e negócios, dentro do cenário canadense.

A ITBusiness.ca é publicada pela ITWC, uma empresa privada de serviços de mídia e conteúdo. Apoiada em mais de 3 décadas de relacionamento com decisores em todo o Canadá por meio de jornalismo premiado, a ITWC traz informações instigantes e relevantes para o público de diretoria e gerência. Ela também traz estratégias de ponta para conteúdo de marketing para seus clientes, dentre os quais existem mais de 200 empresas das Forbes 1000.

A ITWC é uma filiada exclusiva no Canadá do International Data Group (IDG), que conta com mais de 300 publicações em todo o mundo.
www.itbusiness.ca | www.itwc.com