Melhore a postura de segurança de sua equipe com o Defender for DevOps

Não é surpresa para ninguém que DevSecOps - a prática de integrar segurança ao DevOps - é um dos assuntos mais importantes para equipes de desenvolvimento. Afinal, com a adoção de DevOps, de que adianta entregar software rapidamente se ele contiver problemas de segurança? Ao mesmo tempo, incorporar práticas e processos de segurança ao ciclo de desenvolvimento está cada vez mais difícil.

Veja, neste artigo, como o Defender for DevOps da Microsoft ajuda a gerenciar diversos aspectos de segurança de seu processo de DevOps.

Shift-Left e DevSecOps

A prática de DevSecOps é uma evolução natural do conceito de Shift-Left, que é a ideia de que quanto mais cedo você identificar e corrigir um problema, mais barato será para sua organização. Originalmente, a ideia de Shift-Left era aplicada a testes, mas hoje em dia ela se aplica a qualquer aspecto do desenvolvimento de software, incluindo segurança.

O problema é que, embora a ideia de Shift-Left seja simples, sua implementação é complexa. Afinal, como você pode garantir que a segurança seja incorporada ao ciclo de desenvolvimento? Como você pode garantir que sua equipe esteja ciente de problemas de segurança e que eles sejam corrigidos?

Invariavelmente, equipes de desenvolvimento que buscam adotar práticas de desenvolvimento mais seguras esbarram em problemas de comunicação com o pessoal de Segurança. Não tem jeito - via de regra, a área de Segurança é vista como “os chatos que dizem não para tudo.

"Pára tudo!" não precisa ser a única resposta da área de Segurança
"Pára tudo!" não precisa ser a única resposta da área de Segurança (clique para ampliar)

Num processo típico de desenvolvimento onde Segurança é deixada para um segundo momento, costumamos ver o seguinte:

Modelo típico de Segurança. Nele, temos um tempo relativamente pequeno dedicado a segurança próximo ao fim do ciclo de desenvolvimento - por exemplo, fazendo testes de segurança próximos à entrada em homologação - e validações de segurança mais intensas já com a aplicação em produção (pen-tests, security scans e afins)
Modelo típico de Segurança. Nele, temos um tempo relativamente pequeno dedicado a segurança próximo ao fim do ciclo de desenvolvimento - por exemplo, fazendo testes de segurança próximos à entrada em homologação - e validações de segurança mais intensas já com a aplicação em produção (pen-tests, security scans e afins) (clique para ampliar)

Da mesma forma que acontece com bugs descobertos muito tarde na aplicação, problemas de segurança descobertos no fim do ciclo de desenvolvimento - ou pior, apenas em produção - não apenas são mais caros de se corrigir, mais no caso de um exploit as consequências podem ser desastrosas.

Daí a ideia de trazer as práticas de Segurança para dentro do laço de desenvolvimento e, portanto, passível de ser trazida “mais para a esquerda”. Então, ao invés de focar apenas nas práticas de Dev e Ops, DevSecOps nos lembra de permear Segurança ao longo do processo de desenvolvimento.

Ao deslocar as checagens de segurança para a esquerda, temos a oportunidade de incluir processos e verificações de segurança muito mais cedo no nosso processo de desenvolvimento - por exemplo, incluindo verificações de segurança nos processos de CI/CD, não apenas no momento da liberação
Ao deslocar as checagens de segurança para a esquerda, temos a oportunidade de incluir processos e verificações de segurança muito mais cedo no nosso processo de desenvolvimento - por exemplo, incluindo verificações de segurança nos processos de CI/CD, não apenas no momento da liberação (clique para ampliar)

Dada a importância de trazer os processos de segurança mais para a esquerda, torna-se indispensável o apoio de ferramentas como complemento a práticas de desenvolvimento seguro. Essas ferramentas nos ajudam a identificar problemas que, de outra forma, poderiam passar despercebidos.

Por outro lado, um excesso de ferramentas - em especial, ferramentas desconectadas e que não compartilham informações entre si - também pode ser um problema.

É aí que entra o Microsoft Defender for DevOps.

Microsoft Defender for DevOps

Equipes de segurança costumam sofrer com a fragmentação de dados e a falta de contexto. Isso é especialmente verdade quando levamos em consideração os riscos de negócios e a falta de processos integrados para antecipar problemas.

O Defender para DevOps visa a minimizar esses problemas, oferecendo a equipes de Segurança e Desenvolvimento um cockpit unificado para monitorar os aspectos de segurança ligado à aplicação, desde o seu desenvolvimento até a publicação em produção e execução em nuvem.

Dashboard de segurança do Defender for DevOps
Dashboard de segurança do Defender for DevOps (clique para ampliar)

Os principais recursos do Defender para DevOps são:

  • Dashboard com insights sobre Postura de Segurança: o Defender para DevOps oferece um dashboard centralizado com informações sobre a postura de segurança de sua aplicação, incluindo recomendações e alertas de segurança. O dashboard é personalizável e pode ser adaptado às necessidades de sua equipe.
  • Descoberta automática de repositórios: o Defender for DevOps permite que você examine todos os repositórios de código de sua organização - estejam eles no Azure DevOps ou no GitHub. Isso reduz o risco de problemas de segurança devidos a repositórios desconhecidos que não estão sendo monitorados pelos processos de segurança de DevSecOps na sua empresa.
  • Proteção da infraestrutura de nuvem: o Defender for DevOps inclui segurança para scripts de Infraestrutura como Código (“Infrastructure as Code”, IaC) e para imagens de contêineres, reduzindo o risco de que configurações inadequadas de sua infraestrutura possam abrir brechas de segurança em seu ambiente de produção.
  • Priorização de problemas críticos no código: através da integração com o mecanismo de Pull Requests do Azure DevOps e do GitHub, o Defender for DevOps permite que problemas críticos de segurança sejam priorizados e que os desenvolvedores sejam notificados através de anotações em seus pull requests, tornando o processo de correção mais simples e ágil.

O Defender for DevOps integra-se ao Microsoft Defender for Cloud e ao GitHub Advanced Security (incluindo o GitHub Advanced Security for Azure DevOps), permitindo que você tenha uma visão unificada da segurança de sua aplicação, desde o código-fonte até a execução em nuvem.

Conclusão

O Defender for DevOps pode ser uma ferramenta bastante útil em seu arsenal de DevSecOps. Ele permite que você tenha uma visão unificada da segurança de sua aplicação, desde o código-fonte até a execução em nuvem. Atualmente ele está em preview e pode ser usado gratuitamente por até 30 dias. Para saber mais, acesse aka.ms/defender-for-devops.

TDC Innovation 2023

Ah, a propósito: não perca a minha palestra sobre Microsoft Defender for DevOps no TDC Innovation 2023. Vai ser no dia 15/junho/2023, às 11h, na trilha Microsoft do TDC.

Trilha Microsoft no TDC Innovation 2023
Trilha Microsoft no TDC Innovation 2023 (clique para ampliar)

Não perca tempo, inscreva-se já!

Um abraço,
– Igor

30/05/2023 | Por Igor Abade V. Leite | Em Técnico | Tempo de leitura: 5 mins.

Postagens relacionadas

Minha palestra sobre DevOps Self-Service no TDC Connections 2021

Minha palestra sobre DevOps Self-Service no TDC Connections 2021

Resumo (“excerpt”) do post (Continua)

Não perca o Microsoft Remote Engineering DevOps Summit!

Não perca o Microsoft Remote Engineering DevOps Summit!

A CloudMotion, reconhecida como a principal parceira Microsoft em DevOps na América Latina, irá participar do Microsoft Remote Engineering DevOps... (Continua)

Liberando agentes de build dinamicamente no firewall do ACR

Liberando agentes de build dinamicamente no firewall do ACR

Mais um post direto das trincheiras. Um de nossos clientes está usando Azure Container Registry com o firewall do registry... (Continua)