Negli ambienti in cui è stata adottata, la metodologia DevOps ha portato grandi cambiamenti nelle modalità di sviluppo di un’applicazione. L’introduzione della sicurezza in questa metodologia, tuttavia, non è stata tra gli aspetti primari che gli sviluppatori hanno introdotto.
I team di sviluppo possono ottenere facilmente maggiore visibilità con l'introduzione della sicurezza degli ambienti DevOps.
Ma quali sono i cambiamenti richiesti e quali saranno gli impatti sull'architettura e le operazioni di sicurezza? Cosa deve rimanere e cosa deve cambiare?
Sicurezza Immediata
Anche con le attività di approvazione manuali integrate nel flusso di lavoro, i modelli operativi di sicurezza tradizionali presentano un collo di bottiglia. Per essere efficaci, è necessario adottare e integrare la sicurezza all’interno del modello DevOps per fornire test e controlli nell'ambito della pipeline.
Ciò richiederà l'adozione di alcuni nuovi strumenti, lo spostamento delle pratiche operative ed alcune nuove competenze.
Spostamento a Sinistra della Sicurezza
Lo spostamento a sinistra della sicurezza riguarda lo spostamento dei test di sicurezza il più possibile “a sinistra” quindi all’inizio delle fasi di sviluppo.
Questo perché alcune vulnerabilità sono più semplici da rilevare e molto più economiche da correggere durante le prime fasi di sviluppo dell’applicazione rispetto a quando il software è stato distribuito.
I team di sicurezza e sviluppo devono collaborare per identificare in anticipo le minacce e per inserire test di sicurezza nel workflow di software delivery.
Analisi delle Minacce
Infine, gli sviluppatori si assumono maggiori responsabilità per lo stack di runtime in cui il loro codice sarà eseguito utilizzando modelli come “infrastructure-as-code” per definire un intero ambiente di applicazione in esecuzione o con Dockerfile per definire i container di applicazioni.
A loro volta, i team di sicurezza devono essere in grado di rilevare le possibili minacce all'interno degli ambienti di sviluppo in evoluzione e fornire strumenti adeguati che i team di sviluppo possono sfruttare per integrare funzionalità di sicurezza nelle prime fasi di coding delle applicazioni.
Ciò consentirà a entrambi i team di riconoscere configurazioni non sicure in modo da poter essere corrette prima del primo commit del codice.
Metodologia DevSecOps
Man mano che la metodologia DevOps si diffonde sempre di più, le altre parti dell'IT, in particolare la sicurezza, dovranno adattarsi a cicli di sviluppo più rapidi e a nuovi vettori di attacco all'interno di una pipeline di delivery del software altamente automatizzata.
Questo in aggiunta alla messa in pratica di best practice sulla sicurezza tenendo sempre presente che le minacce sono in costante evoluzione e sono sempre più sofisticate.
Il passaggio al cloud ha cambiato tutti gli aspetti del ciclo di vita dello sviluppo delle applicazioni, tra cui la sicurezza. I team di sicurezza e DevOps devono far fronte a un numero crescente di elementi da proteggere mentre l'organizzazione adotta approcci nativi cloud.
Gli ambienti in continua evoluzione rappresentano una sfida per gli sviluppatori che devono costruire e implementare a un ritmo frenetico, mentre i team di sicurezza rimangono responsabili della protezione e della conformità dell'intero ciclo di vita.
Prisma Cloud di Palo Alto Networks offre funzionalità di monitoraggio continuo, convalida della conformità e sicurezza dello storage all’interno di ambienti multi-cloud.
Se vuoi avere maggiori informazioni sulla soluzione di Palo Alto Networks invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Visita la pagina dedicata sul nostro sito per ricevere ulteriore materiale informativo per richiedere una demo gratuita della soluzione.
In alternativa, puoi compilare il form sottostante con la tua domanda.
