Per stare al passo con la diffusione dell’utilizzo di ambienti cloud, e farlo in sicurezza, è necessario incorporare le pratiche di sicurezza all’interno della pipeline di sviluppo e distribuzione delle applicazioni.
Il termine “DevSecOps” descrive proprio tale processo; consiste non solo nell’integrazione della sicurezza delle applicazioni e dell’infrastruttura fin dall’inizio del ciclo di sviluppo, ma anche nell’automatizzare alcune attività di controllo della sicurezza per evitare che rallentino il flusso di lavoro DevOps. Sfortunatamente, il passaggio a DevSecOps può causare attriti tra team di sicurezza e DevOps.
Le aziende possono adottare pratiche per ridurre tale conflitto e garantire che il passaggio a DevSecOps sia eseguito in maniera ottimale. Strumenti di sicurezza appositamente progettati possono consentire ai team DevOps di effettuare questa transizione.
La Nascita del DevSecOps
Prodotti e servizi innovativi che hanno come obiettivo quello di soddisfare esigenze e preferenze degli utenti finali richiedono che le applicazioni siano distribuite con grande agilità, frequenza e scalabilità.
Di conseguenza, i team di sviluppo sfruttano piattaforme cloud e container in combinazione a pratiche DevOps per raggiungere gli obiettivi di business. I team di sicurezza, incaricati di proteggere i dati e le app dei clienti, hanno un compito difficile in circostanze normali.
L'adozione di un'infrastruttura altamente elastica e scalabile, che spesso distribuisce risorse da centinaia a migliaia di volte al giorno, pone un enorme fardello sui team di sicurezza che alla fine non sono in grado di soddisfare questi requisiti.
La metodologia DevSecOps, se applicata correttamente, ha la capacità garantire sicurezza nativa in cloud che permetta la gestione delle vulnerabilità, il rispetto delle policy di conformità e la visibilità su errori di configurazione e protezioni di runtime.
Tuttavia, i team di sicurezza e DevOps sono spesso in contrasto tra loro per raggiungere i rispettivi obiettivi.
DevOps vs. Sicurezza
Il termine "cultura" viene spesso utilizzato per descrivere persone, processi e strumenti che consentono alle organizzazioni di raggiungere gli obiettivi di business.
Tuttavia, è stato difficile per molte organizzazioni abbracciare e riconoscere la barriera culturale che esiste tra i team di sicurezza e DevOps. È importante comprendere queste differenze prima di discuterne le conseguenze. Alcune differenze principali sono presenti nella tabella seguente.
Questa discrepanza crea problematiche per l’azienda in molteplici contesti:
le app con vulnerabilità critiche sono distribuite nella produzione;
nessuna visibilità sulla conformità (app, cloud e piattaforma container);
applicazioni completamente esposte a internet;
incapacità di correlare il comportamento delle app – autorizzate o non autorizzate.
Verso un Obiettivo Comune
La trasformazione in DevSecOps è un processo di miglioramento continuo. Una migliore comunicazione, collaborazione e, soprattutto, responsabilizzazione possono aiutare a colmare il divario culturale.
Comunicazione | Processi
Una buona comunicazione consente ai team di sicurezza di descrivere chiaramente i risultati desiderati, come la piena visibilità delle vulnerabilità, errori di conformità e configurazioni errate prima che le applicazioni vengano distribuite in produzione.
Allo stesso tempo, aiuterà i team DevOps a comprendere che è molto "più economico" (in termini di eventuali violazioni e reputazione) ed efficiente affrontare queste problematiche nella pipeline CI / CD rispetto a un ambiente di produzione in esecuzione. Un processo di miglioramento continuo riduce drasticamente la superficie di attacco.
Collaborazione | Persone
Una migliore cooperazione tra le persone consente ad entrambi i team di collaborare per convergere verso una strategia comune per ridurre al minimo la superficie di attacco.
Ad esempio, secondo i team di sicurezza le configurazioni errate del cloud e le vulnerabilità critiche devono essere rilevate e risolte quando viene effettuata una pull request (PR).
Per i team DevOps è molto più semplice affrontare queste problematiche durante lo sviluppo di una determinata funzionalità grazie ad un feedback immediato invece che dopo il deploy.
Empowerment | Tool
L’empowerment attraverso gli strumenti garantisce che i team di sicurezza forniscano ai team DevOps gli strumenti giusti per gestire le funzionalità di sicurezza delle proprie applicazioni.
Fornire strumenti adeguati aumenta notevolmente la volontà e la capacità dei team DevOps di introdurre sicurezza nelle loro pipeline.
Grazie a DevSecOps, l’agilità e la possibilità di reagire rapidamente, già previste nell’approccio DevOps, possono essere utilizzate in modo ottimale.
Per scoprire di più su come colmare il divario tra i team di sicurezza e DevOps invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. In alternativa, puoi compilare il form sottostante con la tua domanda.