Por que os certificados digitais são tão importantes para suas equipes de DevOps

As organizações estão integrando cada vez mais o DevOps em seus processos de desenvolvimento de aplicativos. De acordo com a Amazon Web Services (AWS), o DevOps é muito promissor para as organizações porque tem o potencial de aumentar a velocidade e a capacidade de implantar novos aplicativos e serviços. Ele faz isso fazendo com que as equipes de desenvolvimento e operação trabalhem juntas em todo o ciclo de vida do aplicativo. (As equipes de segurança também podem se envolver em um processo conhecido como DevSecOps.) Juntos, o pessoal de desenvolvimento e operações usa pilhas de tecnologia estendidas e ferramentas para automatizar processos que tradicionalmente executavam manualmente.

Escusado será dizer que as organizações podem colher muitos benefícios adotando um modelo DevOps. Quando deixados em seus silos, desenvolvedores, pessoal de operações, profissionais de segurança e até mesmo pessoal da Garantia de Qualidade não necessariamente conhecem os obstáculos que podem atrapalhar a conclusão de um projeto no prazo. Isso porque esses grupos adicionam algo diferente a uma tarefa. Conforme observado pela Digital.ai, eles não necessariamente abordam seu trabalho a partir do mesmo entendimento do contexto ou valor de negócios de um novo aplicativo. Como tal, essas equipes podem até ter objetivos opostos que podem atrasar um projeto e levar a brigas internas.

Certificados digitais: um desafio para o DevOps acompanhar a segurança

As organizações querem aproveitar ao máximo a integração de suas diferentes equipes sob um modelo DevOps. Reconhecendo esse fato, não é surpreendente que o DevOps como uma mentalidade esteja mudando constantemente na tentativa de se adequar ao cenário tecnológico em constante evolução. O DevOps deve, portanto, acompanhar o campo da segurança da informação.

Sid Phadkar, gerente sênior de produtos da Akamai, deixou isso claro para a TechRepublic :

Com o número crescente de violações de dados e maior ênfase nas regulamentações de privacidade de dados, como PSD2 e GDPR, tanto nos EUA quanto no mundo, as organizações com experiência em DevOps serão forçadas a priorizar a diligência nas medidas de segurança horas extras para o mercado no próximo ano. À medida que novos regulamentos são implementados, mais desenvolvedores de aplicativos serão obrigados a criar políticas de segurança rígidas diretamente no código. Haverá um aumento nas ferramentas de DevOps que atendem à automatização de mais tarefas relacionadas à conformidade nas equipes de infosec, incorporando medidas de segurança e conformidade nos fluxos de trabalho diários de CI.

O problema é que nem sempre é fácil alinhar DevOps com segurança. De fato, a Keyfactor observou que muitas organizações lutam para aplicar políticas de segurança consistentes em torno do DevOps devido aos conflitos discutidos acima. As boas práticas de segurança geralmente entram em contato com a entrega pontual de um novo aplicativo ou serviço. Sem as ferramentas certas para dar suporte ao DevOps, a equipe de segurança, portanto, não pode dar suporte aos desenvolvedores da maneira que eles precisam. Os desenvolvedores, portanto, estarão mais inclinados a resistir a novas práticas de segurança e encontrar alternativas não compatíveis para novos processos que os atrasam.

Esses desafios são uma preocupação especial para o gerenciamento do ciclo de vida do certificado. As organizações precisam proteger o ciclo de vida do DevOps com PKI por meio da assinatura de código ou da criação de um certificado. Mas, conforme observado pelo AppViewX, essa implementação de PKI geralmente sofre com a baixa visibilidade dos ciclos de vida dos certificados e comunicação inconsistente com as Autoridades de Certificação.

Os pipelines convencionais de DevOps também costumam depender de solicitações manuais para obter certificados confiáveis. Esses tipos de solicitações prejudicam a agilidade do ciclo de vida de desenvolvimento de software. A maioria dos contêineres não fica ativa por muito tempo, portanto, se essas solicitações levarem dias para serem concluídas, os certificados digitais resultantes serão efetivamente inúteis, a menos que a organização diminua a entrega de aplicativos. Esse dinamismo também torna difícil para o DevOps gerenciar e monitorar esses certificados por conta própria. Os membros da equipe podem, portanto, procurar atalhos, recorrer a processos ad hoc ou adquirir certificados que usam vários padrões criptográficos — variações que aumentam o risco de segurança da organização.

Essas preocupações não ressoam apenas com os analistas do setor. Eles também são compartilhados por profissionais de DevOps. Em uma pesquisa de 2019, 74% dos profissionais de DevOps disseram à Venafi que estavam preocupados que a emissão de certificados pudesse retardar o desenvolvimento. Pouco mais de um terço (39%) dos desenvolvedores disseram que deveriam ser capazes de contornar essas políticas para cumprir seus acordos de nível de serviço, enquanto menos da metade (48%) dos entrevistados expressaram sua crença de que os desenvolvedores em sua organização sempre solicitam certificados por meio de canais e métodos aprovados pela equipe de segurança.

Como as equipes de DevOps podem lidar melhor com seus certificados

Em resposta aos desafios discutidos acima, as equipes de DevOps podem lidar melhor com seus certificados automatizando seus processos de gerenciamento de certificados. Conforme observado pelo DevOps.com, ferramentas de orquestração como o Kubernetes oferecem suporte ao gerenciamento de certificados por meio do protocolo ACME. O Kubernetes armazena chaves privadas no Kubernetes Secret ou no Hashicorp Vault, proporcionando integração perfeita para o sistema de gerenciamento de certificados. As equipes de DevOps também podem assinar digitalmente seus contêineres com uma CA privada para ajudar a verificar um determinado contêiner à medida que ele se comunica por uma conexão TLS.

Além da automação, o DevOps precisa aumentar a visibilidade de seus certificados para evitar interrupções desnecessárias. Os membros da equipe precisam ser capazes de renovar certificados antes que eles expirem e resolver configurações inadequadas para garantir que os serviços críticos permaneçam ativos. O TechBeacon observa que o DevOps deve usar coleções de automação orientadas por API chamadas “receitas” para orquestrar seus processos envolvendo chaves e certificados na tentativa de equilibrar agilidade e segurança.

Tem alguma opinião sobre isso? Deixe-nos saber abaixo nos comentários ou leve a discussão para o nosso Twitter ou Facebook.

Recomendações dos editores:

• Como implementar testes contínuos em DevOps?
• Os engenheiros do AWS DevOps estão arrasando – dê um salto na sua carreira com este pacote de cursos de US$ 30
• Como o DevOps pode proteger os dados do cliente
• Como o DevOps está transformando o desenvolvimento de software

Nota do Editor: David Bisson é um escritor de segurança da informação e viciado em segurança. Ele é um editor colaborador do Security Intelligence da IBM e do blog The State of Security da Tripwire, e é um escritor colaborador da Bora. Ele também produz regularmente conteúdo escrito para a Zix e várias outras empresas no espaço de segurança digital.