Integre a segurança em um ambiente DevOps

SUMÁRIO EXECUTIVO

Em muitas organizações, o DevOps funcionava separadamente da segurança. Com o aumento da velocidade de desenvolvimento e implantação, os controles de segurança geralmente são deixados em segundo plano. No entanto, o movimento DevSecOps para incluir a segurança o mais cedo possível está dando resultados.

O que é DevOps?

DevOps é um conjunto de práticas que emprega processos de integração contínua, eliminando os silos entre o desenvolvimento de software e as operações de TI.

Tradicionalmente, muitas organizações separavam equipes por função para desenvolver, implantar e governar aplicativos dentro de uma infraestrutura. No entanto, a corrida para inovar e transformar digitalmente um negócio acelerou o ritmo de produção e lançamento de novos recursos. A segurança geralmente é deixada de lado, o que reduz a qualidade e deixa muitos clientes insatisfeitos. Adicionar uma alteração no código do aplicativo perto do fim do ciclo de desenvolvimento não é apenas extremamente custoso (devido a testes adicionais e recertificação), mas também reforça a percepção comum de que “a segurança nos atrasa”.

À medida que os tempos de ciclo aceleram e as equipes de desenvolvimento adotam metodologias mais ágeis para lançar software mais rapidamente, a integração contínua por meio do DevOps visa entregar lançamentos mais frequentes, com mais novos recursos ao mercado, mais rapidamente. É tudo uma questão de velocidade.

Como você integra a segurança ao DevOps mais cedo?

Usar as melhores práticas de segurança no início do ciclo de vida de desenvolvimento de software pode criar efeitos positivos drásticos em custos e eficiência. No entanto, em muitas organizações, as equipes de segurança continuam existindo em um silo, assim como as equipes de desenvolvimento e operações operavam em silos antes do movimento DevOps. Por isso, surgiu um movimento ainda mais novo que infunde segurança no processo de integração/implantação contínua: DevSecOps (Opções de desenvolvimento e segurança).

A popularidade crescente do movimento DevSecOps se deve em grande parte a uma metodologia chamada “shifting left”. “Shifting left” é onde as equipes de desenvolvimento de software se concentram em código robusto desde o início. Esse método afasta a segurança de sua função reativa de guardiã e a aproxima de uma função preventiva. As equipes de segurança fornecem orientação e suporte às equipes de desenvolvimento e incorporam a automação de segurança ao pipeline de desenvolvimento de Integração Contínua/Entrega Contínua (CI/CD) o mais rápido possível.

Em um ambiente DevSecOps, a segurança é uma responsabilidade compartilhada que gera muito mais colaboração e feedback, quebra as barreiras entre desenvolvimento, operações e segurança, para levar os recursos ao mercado mais rapidamente, com menor custo e maior eficiência.

5 maneiras de aumentar a escala e a eficiência

Mesmo com a segurança como uma responsabilidade compartilhada, as equipes de segurança não podem esperar que os desenvolvedores se tornem especialistas em segurança instantaneamente e tomem as decisões corretas de controle de segurança na primeira oportunidade que tiverem. Assim como o DevOps, o DevSecOps é uma filosofia que exige uma mudança cultural na maneira como os aplicativos são desenvolvidos e implantados. No entanto, se as equipes de segurança se concentrarem nas cinco áreas abaixo, elas poderão reduzir custos, aumentar a eficiência e melhorar a capacidade de escala:



01

DESLOCAMENTO PARA A ESQUERDA
e incorporar segurança ao processo o mais cedo possível no ciclo de vida do desenvolvimento.


02

FAÇA DO CAMINHO SEGURO O CAMINHO FÁCIL
concentrando-se em fornecer controles de segurança empacotados e sem atrito que são incorporados ao pipeline do desenvolvedor (CI/CD).


03

QUEBRE SILOS
para aumentar a colaboração e o feedback entre equipes de desenvolvimento, operações e segurança (App Devs, DevOps e SecOps).


04

CUIDE DOS CAMPEÕES DA SEGURANÇA
dentro de suas equipes de desenvolvimento para manter a segurança em mente.


05

CRIAR UM PIPELINE DE CONSTRUÇÃO
para construir controles de segurança e testes na mesma ferramenta que o desenvolvedor usa. Dessa forma, os controles são aplicados de forma automática e consistente, e as equipes de desenvolvimento não precisam depender das equipes de segurança para cada novo lançamento.

Conteúdo relacionado
WEBINÁRIO

Como integrar a segurança em seu ambiente DevOps

Saiba como o Advanced WAF ajuda a acompanhar a evolução e a sofisticação dos ataques com a velocidade do desenvolvimento de aplicativos modernos.

Assista ao webinar ›

Solução

Segurança de aplicativos

O F5 fornece proteção de aplicativo em qualquer arquitetura que resista a uma variedade de tipos de ataque em constante evolução.

Saber mais >