BLOG

Velocidade vs. Segurança:Protegendo aplicativos e APIs modernos no ritmo dos negócios modernos

Miniatura de Dor Zakai
Dor Zakai
Publicado em 19 de fevereiro de 2021

O ritmo dos negócios modernos está criando uma lacuna entre a maneira como os aplicativos são desenvolvidos e como eles são protegidos. Ao aproveitar infraestrutura e aplicativos modernos, as empresas podem competir melhor e se adaptar mais rapidamente. No entanto, eles também podem estar colocando a segurança em risco.

De aplicativos monolíticos a microsserviços

Hoje, 98% das organizações dependem de aplicativos para executar ou dar suporte aos seus negócios . De acordo com nossa pesquisa mais recente da comunidade de código aberto NGINX, o número de aplicativos criados com microsserviços cresceu de 40% em 2019 para 60% em 2020, com 54% das empresas usando microsserviços em alguns ou todos os seus aplicativos. Espera-se que até 2022 90% de todos os novos aplicativos apresentem arquiteturas de microsserviços . Essas tendências não apenas destacam a importância dos aplicativos modernos para as empresas, mas também o valor de alcançar velocidade e agilidade quando se trata de sua implantação. 

É provável que um número cada vez maior de organizações esteja seguindo o mesmo caminho, migrando de aplicativos monolíticos antigos para tecnologias nativas da nuvem e, ao mesmo tempo, implementando princípios de DevOps. E com razão.

Clientes, parceiros e funcionários não apenas exigem mais de seus serviços baseados em tecnologia, eles esperam isso. Os mercados não esperam que as empresas se adaptem. Eles simplesmente se esquecem deles.

É por isso que as empresas estão sendo forçadas a tomar medidas, garantindo que seus aplicativos ofereçam a melhor experiência possível. Mas proporcionar essas experiências exige uma abordagem diferente para o desenvolvimento de aplicativos. Ela exige uma abordagem mais rápida e iterativa que forneça a flexibilidade que as empresas precisam para permanecerem competitivas.

DevOps, microsserviços e contêineres podem ajudar a fornecer essa agilidade de aplicativo tão procurada, reformulando abordagens antiquadas em favor de métodos de entrega modernos. Mas o que dizer de outras considerações importantes, como proteger esses aplicativos? As políticas de segurança conseguem lidar com o ritmo?

Uma nova linha de frente na batalha contra as violações

Os hackers lançam uma média de 2.244 ataques por dia. Isso é um a cada 39 segundos . E um único ato malicioso bem-sucedido é tudo o que é necessário para causar estragos financeiros e de reputação em uma empresa, ou até mesmo destruí-la completamente. Pode parecer drástico, mas essas são as probabilidades que as organizações enfrentam hoje. O custo médio de uma violação de dados em 2020 foi de US$ 3,86 milhões por empresa. E, em média, apenas 5% dos aplicativos no portfólio de uma organização tendem a ser protegidos adequadamente.

Ainda mais preocupante é o quanto os ataques são mais sofisticados e abrangentes. Os hackers não visam mais apenas códigos. Com 40% dos ataques a aplicativos da web ocorrendo por meio de APIs, um número que deve crescer para 90% em 2021 , barreiras mais altas simplesmente não fornecem a proteção necessária em ambientes modernos. Some esse aumento no nível de ameaça a ciclos de lançamento mais rápidos e frequentes, onde falhas de segurança podem facilmente passar despercebidas, e isso pode rapidamente se tornar uma receita para o desastre.

Equilibrando as necessidades de segurança com a velocidade de entrega

Nenhuma organização quer restringir a agilidade ou limitar a inovação. Da mesma forma, as empresas não estão dispostas a colocar seus dados, ou os de seus clientes, em risco. No entanto, à medida que as demandas dos negócios modernos aumentam e o desenvolvimento de aplicativos modernos é necessário para manter uma vantagem competitiva, as empresas estão sendo forçadas a escolher entre os dois. Ou você entra no mercado rapidamente e fica potencialmente exposto, ou opera de forma lenta e segura. Não deveria ser assim.

Se antes as políticas de segurança eram aplicadas durante os estágios finais de um lançamento, a velocidade das implantações hoje torna isso quase impossível. Considerando que há cerca de 500 desenvolvedores de software para cada profissional de segurança , as probabilidades não estão a favor da proteção de aplicativos.

Portanto, a capacidade de fornecer segurança robusta e consistente em todas as arquiteturas e infraestruturas de aplicativos fica prejudicada, e a culpa não recai sobre ninguém em particular. Os líderes empresariais entendem a importância da segurança, mas também a necessidade de colocar seus aplicativos no mercado rapidamente. As equipes de DevOps geralmente se ressentem da lentidão da implantação pelo SecOps. Enquanto isso, os SecOps frequentemente lamentam a falta de controles de segurança fornecidos pelo DevOps. De fato, 48% dos profissionais técnicos veem a segurança como um grande obstáculo para a entrega rápida de software.

Em busca da simplicidade da segurança

É claro que, para que as empresas impulsionem a inovação e permaneçam ágeis, a eficácia da automação DevOps e sua simplicidade de "construir uma vez, executar em qualquer lugar" é crucial. E se uma abordagem de “construir uma vez, aderir em qualquer lugar” pudesse ser aplicada às políticas de segurança? Para um caminho ágil e seguro, as empresas devem encontrar uma maneira de integrar a segurança ao ciclo de vida de um aplicativo, não aplicá-la no final do desenvolvimento ou tentar corrigi-la com complementos. Segurança e desenvolvimento de aplicativos não devem simplesmente coexistir, mas se tornar um.

O melhor dos dois mundos

Então, existe uma maneira de alcançar a utopia do DevSecOps? O que significaria para a proteção e velocidade de liberação se você pudesse implementar políticas de segurança de aplicativos SecOps no DevOps sem atrito?

A primeira mudança necessária é a mentalidade. O pensamento antiquado não tem lugar em um ambiente moderno de desenvolvimento de aplicativos. Todas as partes devem abraçar a ideia de proteger aplicativos, não ver isso como um obstáculo a ser superado. Todas as equipes devem seguir na mesma direção, trabalhando em direção a um objetivo comum de aplicativos seguros e de alta qualidade entregues com rapidez.

A segurança integrada precisa se tornar uma parte padrão do processo de desenvolvimento. A velocidade necessária para isso pode ser alcançada de diversas maneiras, sendo a principal delas a automação de políticas. O que também é necessário é uma solução de segurança leve que supere as limitações dos firewalls de aplicativos web do tipo "checkbox" . Ele deve abordar os desafios reais de segurança enfrentados pelos ambientes DevOps modernos, oferecendo segurança escalável e de alto desempenho com controles consistentes para aplicativos da web, microsserviços, contêineres e APIs. Ele deve gerar menos falsos positivos e, principalmente, deve ser mais rápido que outras soluções. Essa solução deve ser compatível com CI/CD, gerenciando e automatizando centralmente os controles de segurança aprovados, para remover gargalos no fluxo de trabalho e dar suporte às iniciativas de desenvolvimento "shift left". Ele também deve ser apoiado por uma organização experiente e melhorar a visibilidade, ao mesmo tempo em que otimiza o desempenho.

Se o acima puder ser alcançado, o atrito entre DevOps e SecOps pode ser removido, e a luta entre implantação rápida e segurança se tornará uma questão esquecida. Ao combinar as ferramentas certas com uma cultura de desenvolvimento verdadeiramente colaborativa , é mais possível do que nunca fornecer proteção poderosa e consistente que acompanhe o ritmo do desenvolvimento de aplicativos modernos.