A segurança do desenvolvedor em primeiro lugar é o futuro na nuvem. Afinal, a responsabilidade pela segurança na nuvem é dos desenvolvedores e das equipes de DevOps, não da segurança de TI.
Nos dias do data center local e da adoção inicial da nuvem, as funções dos desenvolvedores de aplicativos, operações de infraestrutura e segurança eram em grande parte isoladas. Na nuvem, essa divisão de trabalho aumenta o time-to-market da inovação, reduz a produtividade e convida a riscos desnecessários.
Em um ambiente de data center, os desenvolvedores criam aplicativos de software, as equipes de TI criam a infraestrutura necessária para executar esses aplicativos e as equipes de segurança são responsáveis por garantir que os aplicativos e a infraestrutura sejam seguros. No entanto, os desenvolvedores devem criar software dentro das restrições da infraestrutura subjacente e dos sistemas operacionais, e os processos de segurança determinam a velocidade com que todos podem ir. Portanto, quando a segurança descobre uma vulnerabilidade na produção, o processo de correção normalmente envolve todas as partes interessadas — e um considerável retrabalho.
A disrupção na segurança de nuvem e o papel dos desenvolvedores
Ao liberar as equipes das restrições físicas do data center, a nuvem está trazendo a maior mudança no setor de TI em décadas. Mas levou anos para que as organizações começassem a liberar o verdadeiro potencial da nuvem como plataforma para criar e executar aplicativos, em vez de usá-la como plataforma para hospedar aplicativos de terceiros ou migrados do data center. Quando a nuvem é usada simplesmente como um “centro de dados remoto”, a clássica divisão de trabalho é transferida e muito do potencial da nuvem não é realizado.
Mas a mudança para usar a nuvem como plataforma para criar e executar aplicativos está interrompendo a segurança de maneiras profundas. Do ponto de vista do cliente de nuvem, plataformas como Amazon Web Services (AWS), Microsoft Azure e Google Cloud são 100% software, e os desenvolvedores agora estão programando a criação e o gerenciamento de sua infraestrutura de nuvem como parte integrante de seus aplicativos. Isso significa que os desenvolvedores estão projetando sua arquitetura de nuvem e definindo configurações críticas de segurança e, em seguida, alterando-as constantemente.
Uma oportunidade para as organizações
Essa mudança representa uma grande oportunidade para organizações que operam em setores altamente competitivos, porque as equipes de aplicativos e nuvem podem inovar muito mais rápido do que em um data center. Mas apresenta um sério desafio para as equipes que precisam garantir a segurança de ambientes de nuvem cada vez mais complexos e altamente dinâmicos.
Uma forma eficaz de abordar segurança na nuvem hoje é capacitar os desenvolvedores que criam e operam na nuvem com ferramentas que os ajudam a prosseguir com segurança. Deixar de fazer isso torna a segurança o fator limitante da velocidade com que as equipes podem entrar na nuvem e quão bem-sucedida a transformação digital pode ser.
Para entender o que significa capacitar os desenvolvedores na segurança da nuvem, precisamos definir o que entendemos por desenvolvedor. É um amplo guarda-chuva que abrange vários papéis diferentes, incluindo:
- Desenvolvedores de aplicativos que constroem na nuvem e aproveitam os serviços de nuvem nativos como componentes integrais do aplicativo. Nesse modelo, a fronteira entre o aplicativo e a infraestrutura é arbitrária e difusa, se não desaparecendo completamente.
- Engenheiros de nuvem (ou seja, devops) que usam infraestrutura como código (IaC) para programar a configuração, implantação e gerenciamento de ambientes de infraestrutura de nuvem e entregar essa infraestrutura aos desenvolvedores de aplicativos.
- Engenheiros de segurança de nuvem que usam política como código (PaC) para expressar políticas de segurança e conformidade em uma linguagem que outros aplicativos podem usar para validar a segurança automaticamente e vender essas bibliotecas de PaC para equipes em toda a organização.
Independentemente de suas descrições de trabalho, os desenvolvedores controlam a própria infraestrutura de computação em nuvem porque a nuvem é totalmente definida por software. Quando eles criam aplicativos na nuvem, eles também criam a infraestrutura para os aplicativos usando IaC, e os desenvolvedores possuem esse processo.
Política de segurança e conformidade como código
Isso significa que a função da equipe de segurança evoluiu para se tornar a do especialista em domínio que transmite conhecimento e regras aos desenvolvedores para garantir que eles trabalhem em um ambiente seguro. Em vez de expressar essas regras em uma linguagem humana para que outros entendam e interpretem, eles usam o PaC, que verifica outros códigos e ambientes em execução quanto a condições indesejadas. O PaC capacita todas as partes interessadas da nuvem a operar com segurança sem ambiguidade ou desacordo sobre as regras e como aplicá-las em ambas as extremidades do ciclo de vida de desenvolvimento de software (SDLC).
As organizações que entendem a segurança na nuvem defendem a adoção do modelo DevSecOps e permitem que os desenvolvedores garantam a segurança dos aplicativos após a implantação. A IDC prevê que um número crescente de desenvolvedores (mais de 43 milhões até 2025) será totalmente responsável pelo desempenho e segurança contínuos de seu código quando estiver em execução.
Por algum tempo, os aplicativos envolveram um SDLC que inclui fases de criação, teste, implantação e monitoramento. O movimento de “deslocamento à esquerda” na segurança de aplicativos gerou um ROI significativo em termos de velocidade, produtividade e segurança, porque é mais fácil, rápido e seguro corrigir problemas no início do ciclo de vida. Com a adoção do IaC, a infraestrutura em nuvem agora tem seu próprio SDLC, o que significa que a segurança na nuvem também pode e deve ser abordada nas fases de pré-implantação.
Falta de segurança na configuração dos desenvolvedores
A principal preocupação com a segurança na nuvem é a configuração incorreta, mas é importante reconhecer que uma configuração incorreta por parte dos desenvolvedores. Esta é qualquer coisa em seu ambiente de nuvem que se mostre ineficaz para impedir um hacker. Estamos mais familiarizados com as configurações incorretas de recursos únicos que são frequentemente destacadas na cobertura de notícias sobre violações na nuvem, como deixar uma porta perigosa aberta ou permitir o acesso público a um serviço de armazenamento de objetos. Mas as configurações incorretas também envolvem a configuração incorreta de todo o ambiente – as vulnerabilidades arquitetônicas que dão aos invasores o poder de descoberta, movimentação e extração de dados.
Toda grande violação de nuvem envolve explorações dessas falhas de design em ambientes de nuvem — ou comprometimento do plano de controle. O plano de controle é a superfície da API que configura e opera a nuvem. Por exemplo, você pode usar o plano de controle para construir um contêiner, modificar uma rota de rede e obter acesso a dados em bancos de dados ou instantâneos de bancos de dados. (Acessar instantâneos é mais popular entre os hackers do que invadir bancos de dados de produção ao vivo.) Em outras palavras, o plano de controle da API é a coleção de APIs usadas para configurar e operar a nuvem.
O papel das APIs
As APIs impulsionam a computação em nuvem. Eles eliminam a necessidade de uma arquitetura de TI fixa em um data center centralizado. As APIs também significam que os invasores não precisam respeitar os limites arbitrários que as empresas estabelecem em torno dos sistemas e armazenamentos de dados em seus data centers locais.
Embora identificar e corrigir configurações incorretas seja uma prioridade, é essencial entender que as configurações incorretas são apenas um meio para o objetivo final dos invasores: comprometimento do plano de controle. Isso desempenhou um papel central em todas as violações significativas na nuvem até o momento.
Capacitando os desenvolvedores para proteger a nuvem
Capacitar os desenvolvedores a encontrar e corrigir configurações incorretas de nuvem ao desenvolver IaC é fundamental, mas é igualmente importante fornecer a eles as ferramentas necessárias para projetar uma arquitetura de nuvem que seja inerentemente segura contra os atuais ataques de comprometimento do plano de controle.
Há cinco etapas que qualquer organização pode seguir para capacitar efetivamente os desenvolvedores a operar com segurança na nuvem:
Entenda seu ambiente de nuvem e SDLC
As equipes de segurança devem incorporar engenheiros às equipes de aplicativos e DevOps para entender tudo o que está em execução, como está configurado, como é desenvolvido e implantado e as mudanças quando acontecem. Você deve saber quais aplicativos estão associados aos recursos da nuvem, juntamente com quaisquer dados e como eles são usados.
Pense como um hacker para identificar os riscos de comprometimento do plano de controle
Priorize o design seguro e evite configurações incorretas. Uma vez que um ataque de comprometimento do plano de controle está em andamento, geralmente é tarde demais para pará-lo. A segurança eficaz na nuvem requer a prevenção das condições que tornam esses ataques possíveis. Crie segurança em todo o SDLC da nuvem para detectar configurações incorretas antes de serem implantadas e concentre-se em projetar arquiteturas de ambiente inerentemente seguras.
Capacite os desenvolvedores com ferramentas que os orientam em segurança
Os desenvolvedores estão se movendo rapidamente, e qualquer ferramenta de segurança precisa funcionar do jeito que funciona se esperamos adoção sem afetar a velocidade. As ferramentas de segurança na nuvem devem fornecer aos desenvolvedores feedback útil e acionável sobre problemas de segurança e como corrigi-los rapidamente para que possam prosseguir com seu trabalho.
Adote a política como código para segurança na nuvem
O PaC ajuda as equipes de segurança a escalar seus esforços com os recursos de que dispõem, capacitando todos os participantes da nuvem a operar com segurança, sem qualquer ambiguidade ou desacordo sobre quais são as regras e como devem ser aplicadas. Ele serve para alinhar todas as equipes sob uma única fonte de verdade para a política, elimina o erro humano na interpretação e aplicação da política e permite a automação da segurança (avaliação, aplicação, etc.) em todas as etapas do SDLC.
Foco em medição e melhoria de processos
A segurança na nuvem tem menos a ver com detecção de intrusão e monitoramento de redes para atividades nefastas e mais com a melhoria dos processos de segurança na nuvem para evitar que exploits aconteçam. Equipes de nuvem bem-sucedidas avaliam continuamente o risco de seu ambiente, bem como a produtividade de desenvolvedores e equipes de segurança, que devem melhorar à medida que as tarefas manuais e propensas a erros são automatizadas.
Em termos de segurança, os desenvolvedores estão na melhor posição para proteger seu código antes da implantação, manter sua integridade segura durante a execução e entender melhor os locais específicos para fornecer correções no código. Mas eles também são seres humanos propensos a erros operando em um mundo de constante experimentação e fracasso. A automação criada no PaC elimina o risco de erro humano automatizando o processo de busca e detecção constantes de erros antes que eles sejam implantados.
As organizações que adotam uma abordagem de segurança na nuvem que prioriza os desenvolvedores irão inovar com mais rapidez e segurança do que seus concorrentes.
De qualquer forma, é fundamental contar com o suporte de TI de uma empresa especializada em segurança.
Diferenciais da Infonova
A Infonova tem 20 anos de experiência em tecnologia, infraestrutura de TI, e pessoas. Temos clientes internacionais como HBO, AirBnb, Linkedin, Tempo Assist, Nissin, entre outros. Ou seja, estamos aptos a atender qualquer segmento e tamanho de negócio com maestria.
BACKUP
Todas as posições de profissionais da Infonova têm backup. Temos um ditado interno que é: “quem tem um… não tem nenhum”. Portanto, somos obcecados em ter continuidade nas operações para que nós e os nossos clientes possam focar na parte mais importante: explorar oportunidades e gerar crescimento.
VALOR FINANCEIRO
O valor da Infonova é intencionalmente menor quando comparado com empresas no mesmo nível de maturidade. No entanto, fazemos isso para ter a possibilidade de escolher os nossos clientes e ter uma base de clientes satisfeitos, e por bastante tempo.
LIBERAÇÃO DO RH
O RH é uma das áreas mais importantes de qualquer empresa. Afinal, ele deve estar focado em gerir a cultura, desenvolvimento dos colaboradores e atração de talentos; e não apenas com a reposição de profissionais. Sendo assim, terceirizar a TI oferece a possibilidade de fazer com que o RH esteja mais livre para se tornar um vetor de crescimento para a empresa.
FLEXIBILIDADE – HUB DE TECNOLOGIA
A Infonova não faz só Infra, ela pode fazer de tudo. Na verdade, para alguns clientes que não podem resolver algumas questões diretamente, a Infonova atua como Hub, indo para o mercado, encontrando parceiros e fornecedores e interagindo com eles. Esses serviços incluem áreas diversas, como:
- Ar condicionado;
- Outsourcing de impressão;
- Links de internet;
- Compra de materiais e mais.
ALOCAÇÃO DE DESENVOLVEDORES
A Infonova já foi uma fábrica de software no passado. Contudo, em 2012 escolhemos focar em Gestão de TI, Infraestrutura e Segurança. No entanto, como era de se esperar, esse conhecimento e familiaridade permanecem até hoje no time. Portanto, realizamos consultorias de DevOps para alguns clientes, atuamos como mediador entre clientes e desenvolvedores, e também alocamos desenvolvedores para alguns clientes.
RETENÇÃO DE COLABORADORES
Demoramos mais de 10 anos para entender e construir as ferramentas para atrair e manter profissionais de tecnologia no nosso time. Então, seja o profissional alocado no cliente ou não, temos a vivência de como reter, desenvolver e satisfazer tanto os profissionais quanto os clientes. E essa é uma necessidade para o sucesso da empresa.
LIBERAR BRAIN POWER DA ORGANIZAÇÃO PARA APROVEITAR OPORTUNIDADES
Não dá para fazer tudo. Então, faz mais sentido focar no que faz a empresa crescer, mas isso requer um recurso escasso: tempo e atenção. Terceirizar a TI significa retomar esse recurso, contudo, não é de graça. Terceirizar é mais caro do que contratar direto, mas faz sentido se você pode usar a atenção e o tempo para realizar mais valor, inclusive financeiro.
NÃO TEM MULTA DE CONTRATO
A Infonova tirou as multas dos seus contratos há muitos anos. Afinal, entendemos que para o cliente, muitas vezes mudar é uma situação nova. Portanto, escolhemos tirar o risco do cliente e trazer este risco apenas para o nosso lado.
PODE PARAR QUANDO QUISER
Os primeiros 90 dias de contrato com a Infonova não tem multa e nem aviso prévio. Ou seja, basta pedir para parar. Contudo, após os 90 dias, também não temos multa, porém, solicitamos um aviso com 30 dias de antecedência.
CONTINUAMOS AMIGOS
Na Infonova a relação continua mesmo sem contrato. Ou seja, mantemos o relacionamento com os clientes e continuamos ajudando, trocando experiências e apoiando, independente de existir um documento de contrato ou não. Afinal, o nosso interesse é na parceria.
DORMIR TRANQUILO
Stress faz parte do crescimento. Afinal, crescer não é um caminho fácil. No entanto, você pode escolher o tipo de stress que quer ter. Ou seja, pode decidir entre o stress de fazer a empresa “funcionar”, ou o de focar em aproveitar as oportunidades enquanto dorme tranquilo sabendo que o dia a dia está garantido.
