Alguns consideram o Firewall como a mais significativa invenção em Cyber Security dos últimos anos. Certamente ele foi, e ainda é, extremamente relevante para o mercado e segue em constante evolução, passando de simples filtros de pacotes para Stateful, depois incluindo complementos como o Web Application Firewalls e os chamados Next Generation FireWalls, capazes de proteger ataques diretos na camada de aplicação.
Apesar da eficiência dos produtos com esses recursos, enfrentamos hoje a necessidade de criar soluções para proteção, por conta do efeito da descentralização gerado pela Transformação Digital e a geração de demandas Mobile, IoT, Public Cloud etc. Com o incremento desta complexidade, empresas precisaram repensar a ciberssegurança. O foco, antes voltado à infraestrutura e proteção de perímetro, agora está no software e nas aplicações – na necessidade de um desenvolvimento seguro, com proteção desde sua concepção.
É dessa demanda que surgiu o conceito de DevSecOps, complemento às iniciativas DevOps nas empresas, que é considerado como um dos grandes catalisadores da Transformação Digital, já que acelera a integração e entrega contínua de aplicações (CI/CD) com uso de ferramentas e automação, provendo qualidade, performance, disponibilidade e agora segurança.
O “Sec” do DevSecOps endereça o compliance e a segurança no ciclo de vida das aplicações, detecta vulnerabilidades e falhas de forma antecipada, traz o conceito de Shift-left security à tona e cria uma abordagem de aplicações seguras.
Quando falamos de segurança na esteira de integração e entrega contínua de aplicações, temos disponíveis diversos tipos de Application Security Tests (AST) como o Static (AST), o Dynamic (AST) e o Software Composition Analysis. Cada um deles busca vulnerabilidades em uma determinada fase do processo de desenvolvimento e execução de aplicações.
Implementar uma iniciativa DevSecOps não é tarefa fácil. É necessária a integração de um conjunto de soluções que viabilizam a criação de uma Esteira de Integração e Entrega Contínua de Software (CI/CD), o que evita gargalos que aumentem o tempo de entrega de projetos ou falhas de segurança.
Saber escolher as ferramentas que melhor se adaptam ao conjunto (CI/CD) é outro fator de grande importância para evitar dificuldades de integração e efeitos contrários a necessidade base de redução no Lead Time das aplicações. Aqui, deixo algumas dicas:
- Procure o menor número de ferramentas possível e tenha certeza de que elas se acoplem facilmente a atual esteira para não acrescentar complexidade na administração interna
- Dê preferência para plataformas em Cloud que fazem este trabalho…. Se não conhece o Eagle PAM, sugiro dar uma olhada pois, além de testar, também protege a camada de execução em produção.
- Com conceitos e ferramental de AppSec definido, surge a etapa da Governança. Atenção especial a este ponto pois as funções em modelos ágeis devem mudar significativamente, fugindo do modelo tradicional e passando a ter função de auditoria.
Segurança de aplicações deve ser tratada com prioridade nas empresas. Além de uma aliada fundamental nesse quesito, a iniciativa DevSecOps também fomenta a colaboração entre os times e elimina os silos de trabalho desconectados da realidade de negócios da empresa. O resultado é ter na equipe de profissionais mais engajados, um aumento do tempo real de produtividade e os negócios atendendo às demandas de forma efetiva, satisfazendo os clientes.