Melhore a postura de segurança de sua equipe com o Defender for DevOps

Não é surpresa para ninguém que DevSecOps - a prática de integrar segurança ao DevOps - é um dos assuntos mais importantes para equipes de desenvolvimento. Afinal, com a adoção de DevOps, de que adianta entregar software rapidamente se ele contiver problemas de segurança? Ao mesmo tempo, incorporar práticas e processos de segurança ao ciclo de desenvolvimento está cada vez mais difícil.

Veja, neste artigo, como o Defender for DevOps da Microsoft ajuda a gerenciar diversos aspectos de segurança de seu processo de DevOps.

Shift-Left e DevSecOps

A prática de DevSecOps é uma evolução natural do conceito de Shift-Left, que é a ideia de que quanto mais cedo você identificar e corrigir um problema, mais barato será para sua organização. Originalmente, a ideia de Shift-Left era aplicada a testes, mas hoje em dia ela se aplica a qualquer aspecto do desenvolvimento de software, incluindo segurança.

O problema é que, embora a ideia de Shift-Left seja simples, sua implementação é complexa. Afinal, como você pode garantir que a segurança seja incorporada ao ciclo de desenvolvimento? Como você pode garantir que sua equipe esteja ciente de problemas de segurança e que eles sejam corrigidos?

Invariavelmente, equipes de desenvolvimento que buscam adotar práticas de desenvolvimento mais seguras esbarram em problemas de comunicação com o pessoal de Segurança. Não tem jeito - via de regra, a área de Segurança é vista como “os chatos que dizem não para tudo.

"Pára tudo!" não precisa ser a única resposta da área de Segurança
"Pára tudo!" não precisa ser a única resposta da área de Segurança (clique para ampliar)

Num processo típico de desenvolvimento onde Segurança é deixada para um segundo momento, costumamos ver o seguinte:

Modelo típico de Segurança. Nele, temos um tempo relativamente pequeno dedicado a segurança próximo ao fim do ciclo de desenvolvimento - por exemplo, fazendo testes de segurança próximos à entrada em homologação - e validações de segurança mais intensas já com a aplicação em produção (pen-tests, security scans e afins)
Modelo típico de Segurança. Nele, temos um tempo relativamente pequeno dedicado a segurança próximo ao fim do ciclo de desenvolvimento - por exemplo, fazendo testes de segurança próximos à entrada em homologação - e validações de segurança mais intensas já com a aplicação em produção (pen-tests, security scans e afins) (clique para ampliar)

Da mesma forma que acontece com bugs descobertos muito tarde na aplicação, problemas de segurança descobertos no fim do ciclo de desenvolvimento - ou pior, apenas em produção - não apenas são mais caros de se corrigir, mais no caso de um exploit as consequências podem ser desastrosas.

Daí a ideia de trazer as práticas de Segurança para dentro do laço de desenvolvimento e, portanto, passível de ser trazida “mais para a esquerda”. Então, ao invés de focar apenas nas práticas de Dev e Ops, DevSecOps nos lembra de permear Segurança ao longo do processo de desenvolvimento.

Ao deslocar as checagens de segurança para a esquerda, temos a oportunidade de incluir processos e verificações de segurança muito mais cedo no nosso processo de desenvolvimento - por exemplo, incluindo verificações de segurança nos processos de CI/CD, não apenas no momento da liberação
Ao deslocar as checagens de segurança para a esquerda, temos a oportunidade de incluir processos e verificações de segurança muito mais cedo no nosso processo de desenvolvimento - por exemplo, incluindo verificações de segurança nos processos de CI/CD, não apenas no momento da liberação (clique para ampliar)

Dada a importância de trazer os processos de segurança mais para a esquerda, torna-se indispensável o apoio de ferramentas como complemento a práticas de desenvolvimento seguro. Essas ferramentas nos ajudam a identificar problemas que, de outra forma, poderiam passar despercebidos.

Por outro lado, um excesso de ferramentas - em especial, ferramentas desconectadas e que não compartilham informações entre si - também pode ser um problema.

É aí que entra o Microsoft Defender for DevOps.

Microsoft Defender for DevOps

Equipes de segurança costumam sofrer com a fragmentação de dados e a falta de contexto. Isso é especialmente verdade quando levamos em consideração os riscos de negócios e a falta de processos integrados para antecipar problemas.

O Defender para DevOps visa a minimizar esses problemas, oferecendo a equipes de Segurança e Desenvolvimento um cockpit unificado para monitorar os aspectos de segurança ligado à aplicação, desde o seu desenvolvimento até a publicação em produção e execução em nuvem.

Dashboard de segurança do Defender for DevOps
Dashboard de segurança do Defender for DevOps (clique para ampliar)

Os principais recursos do Defender para DevOps são:

  • Dashboard com insights sobre Postura de Segurança: o Defender para DevOps oferece um dashboard centralizado com informações sobre a postura de segurança de sua aplicação, incluindo recomendações e alertas de segurança. O dashboard é personalizável e pode ser adaptado às necessidades de sua equipe.
  • Descoberta automática de repositórios: o Defender for DevOps permite que você examine todos os repositórios de código de sua organização - estejam eles no Azure DevOps ou no GitHub. Isso reduz o risco de problemas de segurança devidos a repositórios desconhecidos que não estão sendo monitorados pelos processos de segurança de DevSecOps na sua empresa.
  • Proteção da infraestrutura de nuvem: o Defender for DevOps inclui segurança para scripts de Infraestrutura como Código (“Infrastructure as Code”, IaC) e para imagens de contêineres, reduzindo o risco de que configurações inadequadas de sua infraestrutura possam abrir brechas de segurança em seu ambiente de produção.
  • Priorização de problemas críticos no código: através da integração com o mecanismo de Pull Requests do Azure DevOps e do GitHub, o Defender for DevOps permite que problemas críticos de segurança sejam priorizados e que os desenvolvedores sejam notificados através de anotações em seus pull requests, tornando o processo de correção mais simples e ágil.

O Defender for DevOps integra-se ao Microsoft Defender for Cloud e ao GitHub Advanced Security (incluindo o GitHub Advanced Security for Azure DevOps), permitindo que você tenha uma visão unificada da segurança de sua aplicação, desde o código-fonte até a execução em nuvem.

Conclusão

O Defender for DevOps pode ser uma ferramenta bastante útil em seu arsenal de DevSecOps. Ele permite que você tenha uma visão unificada da segurança de sua aplicação, desde o código-fonte até a execução em nuvem. Atualmente ele está em preview e pode ser usado gratuitamente por até 30 dias. Para saber mais, acesse aka.ms/defender-for-devops.

TDC Innovation 2023

Ah, a propósito: não perca a minha palestra sobre Microsoft Defender for DevOps no TDC Innovation 2023. Vai ser no dia 15/junho/2023, às 11h, na trilha Microsoft do TDC.

Trilha Microsoft no TDC Innovation 2023
Trilha Microsoft no TDC Innovation 2023 (clique para ampliar)

Não perca tempo, inscreva-se já!

Um abraço,
– Igor



30/05/2023 | Por Igor Abade V. Leite | Em Técnico | Tempo de leitura: 5 mins.

Postagens relacionadas