Perché i certificati digitali sono così importanti per i tuoi team DevOps

Le organizzazioni integrano sempre più DevOps nei processi di sviluppo delle app. Secondo Amazon Web Services (AWS), DevOps mantiene così tante promesse con le organizzazioni perché ha il potenziale per aumentare la velocità e la capacità di distribuire nuove app e servizi. A tale scopo, i team di sviluppo e operativi collaborano durante l'intero ciclo di vita dell'applicazione. (I team di sicurezza potrebbero anche essere coinvolti in un processo noto come DevSecOps.) Insieme, il personale di sviluppo e operativo utilizza stack e strumenti tecnologici estesi per automatizzare i processi che tradizionalmente hanno eseguito manualmente.

Inutile dire che le organizzazioni possono trarre molti vantaggi adottando un modello DevOps. Quando vengono lasciati ai loro silo, gli sviluppatori, il personale operativo, i professionisti della sicurezza e persino le persone di Quality Assurance non conoscono necessariamente gli ostacoli che potrebbero ostacolare un progetto che finisca in tempo. Questo perché questi gruppi aggiungono qualcosa di diverso a un compito. Come notato da Digital.ai, non si avvicinano necessariamente al loro lavoro dalla stessa comprensione del contesto o del valore di business di una nuova applicazione. In quanto tali, queste squadre potrebbero persino avere obiettivi opposti che potrebbero trattenere un progetto e portare a lotte interne.

Certificati digitali: una sfida per DevOps per stare al passo con la sicurezza

Le organizzazioni vogliono ottenere il massimo dall'integrazione dei loro diversi team in un modello DevOps. Riconoscendo questo fatto, non sorprende che DevOps come mentalità cambi costantemente nel tentativo di adattarsi al panorama tecnologico in continua evoluzione. DevOps deve quindi stare al passo con il campo della sicurezza delle informazioni.

Sid Phadkar, senior product manager di Akamai, ha chiarito questo punto a TechRepublic :

Con il numero crescente di violazioni dei dati e la maggiore enfasi sulle normative sulla privacy dei dati come PSD2 e GDPR sia negli Stati Uniti che a livello globale, le organizzazioni esperte di DevOps saranno costrette a dare la priorità alla diligenza nelle misure di sicurezza straordinarie per il mercato nel prossimo anno. Con l'introduzione di nuove normative, più sviluppatori di applicazioni avranno il compito di creare politiche di sicurezza rigorose direttamente all'interno del codice. Ci sarà un aumento degli strumenti DevOps che soddisfano l'automazione di più attività relative alla conformità all'interno dei team di infosec, incorporando così misure di sicurezza e conformità nei flussi di lavoro quotidiani di CI.

Il problema è che non è sempre facile allineare DevOps alla sicurezza. In effetti, Keyfactor ha notato che molte organizzazioni lottano per applicare politiche di sicurezza coerenti attorno a DevOps a causa dei conflitti discussi sopra. Le buone pratiche di sicurezza entrano comunemente in contatto con la consegna tempestiva di una nuova applicazione o servizio. Senza gli strumenti giusti per supportare DevOps, il personale addetto alla sicurezza non può quindi supportare gli sviluppatori in un modo in cui devono essere supportati. Gli sviluppatori saranno quindi più inclini a resistere alle nuove pratiche di sicurezza e a trovare alternative non conformi ai nuovi processi che li rallentano.

Queste sfide sono di particolare interesse per la gestione del ciclo di vita dei certificati. Le organizzazioni devono proteggere il ciclo di vita DevOps con PKI tramite la firma del codice o la creazione di un certificato. Tuttavia, come notato da AppViewX, questa implementazione dell'infrastruttura PKI spesso soffre di una scarsa visibilità sui cicli di vita dei certificati e di comunicazioni incoerenti con le autorità di certificazione.

Le pipeline DevOps convenzionali si basano inoltre comunemente su richieste manuali per ottenere certificati attendibili. Questi tipi di richieste minano l'agilità del ciclo di vita dello sviluppo del software. La maggior parte dei container non dura molto a lungo, quindi se tali richieste richiedono giorni per essere completate, i certificati digitali risultanti saranno effettivamente inutili a meno che l'organizzazione non rallenti la consegna delle applicazioni. Tale dinamismo rende inoltre difficile per DevOps gestire e monitorare autonomamente tali certificati. I membri del team potrebbero quindi cercare scorciatoie, ricorrere a processi ad hoc o acquistare certificati che utilizzano più standard crittografici, variazioni che aumentano il rischio per la sicurezza dell'organizzazione.

Queste preoccupazioni non risuonano solo con gli analisti del settore. Sono condivisi anche dai professionisti DevOps. In un sondaggio del 2019, il 74% dei professionisti DevOps ha dichiarato a Venafi di temere che l'emissione di certificati potesse rallentare lo sviluppo. Poco più di un terzo (39%) degli sviluppatori ha affermato che dovrebbe essere in grado di aggirare tali politiche per soddisfare i propri accordi sul livello di servizio, mentre meno della metà (48%) degli intervistati ha espresso la propria convinzione che gli sviluppatori nella propria organizzazione richiedano sempre i certificati attraverso i canali e metodi approvati dal team di sicurezza.

In che modo i team DevOps possono gestire al meglio i propri certificati

In risposta alle sfide discusse in precedenza, i team DevOps possono gestire al meglio i propri certificati automatizzando i processi di gestione dei certificati. Come notato da DevOps.com, gli strumenti di orchestrazione come Kubernetes supportano la gestione dei certificati tramite il protocollo ACME. Kubernetes archivia le chiavi private in Kubernetes Secret o Hashicorp Vault, fornendo così una perfetta integrazione per il sistema di gestione dei certificati. I team DevOps possono anche firmare digitalmente i propri container con una CA privata per verificare un determinato container mentre comunica tramite una connessione TLS.

Oltre all'automazione, DevOps deve aumentare la visibilità dei propri certificati per evitare inutili interruzioni. I membri del team devono essere in grado di rinnovare i certificati prima che scadano e di affrontare configurazioni improprie per assicurarsi che i servizi critici rimangano attivi. TechBeacon osserva che DevOps dovrebbe utilizzare raccolte di automazione basate su API chiamate "ricette" per orchestrare i processi che coinvolgono chiavi e certificati nel tentativo di bilanciare agilità e sicurezza.

Hai qualche idea su questo? Fatecelo sapere in basso nei commenti o trasferite la discussione sul nostro Twitter o Facebook.

Raccomandazioni della redazione:

• Come implementare test continui in DevOps?
• Gli ingegneri AWS DevOps stanno facendo un MASSIMO: dai il via alla tua carriera con questo pacchetto di corsi da $ 30
• Come DevOps può proteggere i dati dei clienti
• Come DevOps sta trasformando lo sviluppo del software

Nota del redattore: David Bisson è uno scrittore di sicurezza delle informazioni e un drogato di sicurezza. È un redattore collaboratore di Security Intelligence di IBM e The State of Security Blog di Tripwire, ed è uno scrittore collaboratore di Bora. Inoltre produce regolarmente contenuti scritti per Zix e per numerose altre società nel settore della sicurezza digitale.