VISÃO GERAL DA SOLUÇÃO

Automação de segurança para DevOps com F5 Advanced WAF

Automação de segurança para DevOps com F5 Advanced WAF

Os aplicativos estão no centro da estratégia digital entre as organizações modernas. De acordo com uma pesquisa do F5 Labs, as organizações empresariais gerenciam uma média de 983 aplicativos, que geralmente abrangem diversas nuvens e data centers. Os aplicativos modernos geralmente são projetados com arquiteturas distribuídas e construídos usando práticas de desenvolvimento ágil até o nível de componente. Essa estrutura para integração e entrega contínuas (CI/CD) permite que o DevOps gerencie o ciclo de vida do software com rapidez e eficiência. Com o tempo de colocação no mercado como principal KPI (indicador-chave de desempenho), o DevOps adotou fluxos de trabalho modernos e automação. A segurança, no entanto, muitas vezes é deixada de fora do fluxo de trabalho de segurança de CI/CD.

A ausência de controles de segurança de aplicativos no fluxo de trabalho do DevOps significa que eles não são testados junto com o código do aplicativo. Como resultado, defeitos de segurança de aplicativos podem não ser descobertos até que os testes operacionais sejam realizados perto do fim do ciclo de desenvolvimento, onde corrigir falhas é muito mais custoso. Os impactos podem incluir atrasos significativos no tempo de colocação no mercado, custos mais altos de remediação ou controles de segurança inadequados.

A introdução de testes de segurança no início do processo de CI/CD é a solução mais eficiente para abordar a lacuna entre as equipes de aplicação e segurança. O desafio é fazer isso com escala e eficiência, o que exige mudanças culturais e tecnológicas que enfatizem os testes de segurança operacional como parte das fases de desenvolvimento do aplicativo.

O F5 Advanced Web Application Firewall possibilita a integração de testes de segurança de aplicativos operacionais no início do pipeline de desenvolvimento. Isso permite testes abrangentes de especificações funcionais e políticas de segurança no início do pipeline. A equipe de DevOps agora pode descobrir defeitos de segurança, seja na política de segurança ou no próprio aplicativo, enquanto o aplicativo ainda está em desenvolvimento. Quando a equipe encontra erros, ela pode executar a correção com mais eficiência e com um custo significativamente reduzido.

Características principais

  • A implantação e configuração declarativa baseada em API permite a integração com ferramentas e fluxos de trabalho DevOps
  • Permite que o SecOps gerencie e forneça segurança como “código” usando arquivos JSON de fácil leitura para DevOps
  • A ingestão de arquivos OpenAPI oferece suporte à configuração automatizada de segurança da API
  • A integração com Webhooks (por exemplo, Slack, Teams) permite maior colaboração DevOps e recursos avançados de automação
  • Capacidade de compartilhar a segurança básica entre aplicações e controles personalizados por aplicação por meio de política modular
  • Capacidade de compartilhar objetos de política entre políticas por meio de referência a arquivos compartilhados

Principais benefícios

  • Ajuda a trazer aplicações ao mercado mais rapidamente com menor custo e maior eficiência de segurança
  • Muda o teste de segurança para a “esquerda” no pipeline de desenvolvimento de aplicações para uma correção mais econômica
  • Preenche a lacuna operacional entre SecOps e DevOps

Segurança como um código

A integração da segurança do aplicativo ao pipeline de desenvolvimento é facilitada pelo uso de APIs declarativas. Esses comandos de API podem ser usados como parte do pipeline de desenvolvimento automatizado para implantar e configurar o Advanced WAF. A automação pode ser instrumentada por meio de ferramentas que as equipes de DevOps já estão usando, como GitLab, Jenkins e Bitbucket.

As políticas de segurança do WAF também podem ser aplicadas a instâncias existentes do WAF usando os mesmos processos de automação. As políticas de segurança podem ser definidas como um arquivo simples JavaScript Object Notation (JSON). O arquivo pode incluir um ponteiro para o nome e o local da política WAF, normalmente em um repositório como o GitHub.

Usando essa estrutura, a equipe de SecOps pode criar, publicar e manter políticas de segurança facilmente consumidas pelas equipes de desenvolvimento. As políticas podem variar dependendo da aplicação. Por exemplo, a equipe de SecOps pode ter uma política básica para aplicativos que protegem contra o OWASP Top 10, que define os riscos de segurança mais críticos para aplicativos da web. Outras políticas podem ser publicadas para aplicativos que exigem controles adicionais, o que pode incluir aplicativos que manipulam dados confidenciais ou realizam transações financeiras. A equipe de desenvolvimento consome essas políticas, assim como consome outras partes do código do aplicativo.


Figura 1: As organizações podem usar APIs declarativas para integrar a segurança do aplicativo ao pipeline de desenvolvimento automatizado para implantar e configurar o Advanced WAF.

Alterações no “código” de segurança são automaticamente integradas, aplicadas, testadas e criadas pelo conjunto de ferramentas de automação de pipeline de CI/CD. Essa abordagem desloca os controles de segurança mais para a esquerda (antes) no pipeline de CI/CD, permitindo que a segurança seja uma responsabilidade compartilhada durante todo o processo. Assim como em qualquer outra parte do aplicativo, isso garante uma implementação de segurança consistente em todos os estágios do ciclo de vida do desenvolvimento: desenvolvimento, teste, garantia de qualidade e produção.

Equipes multifuncionais de DevSecOps podem usar recursos adicionais de integração do ChatOps (por exemplo, Slack) para aumentar sua eficiência e garantir que estejam sempre na mesma página. No entanto, o ChatOps pode ir além de apenas mensagens e alertas. Quando integrado às ferramentas de pipeline, o ChatOps pode fornecer progresso de DevOps em tempo real e até mesmo iniciar ações de pipeline, como atualizações na política Advanced WAF.

Conclusão

Saiba mais sobre o Advanced WAF: