Como implantar uma solução DevSecOps completa

Tornar o DevOps seguro é uma tarefa difícil porque as ferramentas evoluem e mudam em ritmo acelerado. Os containers e o Kubernetes aumentam ainda mais a complexidade e abrem espaço para novos vetores de ataque e riscos à segurança. As equipes de desenvolvimento e de operações precisam tornar a segurança uma parte integral do ciclo de vida da aplicação para preservar a infraestrutura crítica de TI, proteger dados confidenciais e acompanhar o ritmo das mudanças.

Criamos um framework com nossos parceiros do ecossistema de segurança que estabelece uma base sólida e um blueprint para oferecer soluções de DevSecOps que podem ser implantadas e escaladas com mais eficiência. O framework de DevSecOps da Red Hat^® atende aos principais requisitos de segurança durante todo o ciclo de vida de DevOps como parte de uma estratégia de segurança abrangente com defesa em profundidade. Assim, ajudamos você a reduzir os riscos ao simplificar a segurança do DevOps e acelerar a adoção do DevSecOps.

Nossos parceiros em segurança, como Anchore, Aqua, CyberArk, Lacework, NeuVector, Palo Alto Networks, Portshift, Snyk, StackRox, Synopsys, Sysdig, Thales, Tigera, Trend Micro e Tufin, aumentam os recursos de segurança nativos da Red Hat. Dessa forma, podemos oferecer soluções DevSecOps completas que melhoram a condição geral de segurança da sua empresa e ajudam você a maximizar o uso dos investimentos em tecnologias da Red Hat. 

O framework de DevSecOps da Red Hat identifica nove categorias de segurança e 32 métodos e tecnologias que abrangem todo o ciclo de vida da aplicação. Ele posiciona recursos integrados da Red Hat, conjuntos de ferramentas de DevOps e soluções de parceiros de segurança em pontos de integração importantes no pipeline. Você pode implementar alguns ou todos os métodos e tecnologias em uma categoria, dependendo do escopo do seu ambiente de DevOps e das suas exigências específicas. 

Proteger sua plataforma de Kubernetes é fundamental. Prepará-la para dar suporte a aplicações críticas para os negócios de maneira segura, confiável e escalável pode ser complicado. De fato, a implantação e o gerenciamento do Kubernetes ainda é um dos dois principais desafios para as empresas.¹ O Red Hat OpenShift^® é uma plataforma de aplicações em containers Kubernetes pronta para empresas que elimina a complexidade, remove os obstáculos à adoção e inclui várias funcionalidades de segurança integradas.

O framework de DevSecOps da Red Hat oferece as funcionalidades essenciais para proteger o host de containers subjacente (Red Hat Enterprise Linux^® e Red Hat CoreOS), além da plataforma de aplicações em container. A maioria das funcionalidades de segurança da Red Hat é habilitada por padrão para simplificar a implantação e minimizar os riscos. Essas funcionalidades ajudam a proteger os containers nas suas fronteiras e o host de container escapes. 

Métodos de segurança da plataforma

• Segurança do host: concede controles de acesso obrigatórios com o SELinux, recursos de kernel para controlar chamadas no sistema com modo de computação segura (seccomp) e funcionalidades de kernel para isolar a CPU, a memória e outros recursos usando CGroups.
• Segurança da plataforma de aplicações em container: oferece um ambiente de execução leve para containers com CRI-O e um registro seguro de imagens de container com o Quay.
• Namespaces Linux: isolam aplicações de diferentes equipes, grupos e departamentos.
• Proteção de Kubernetes e containers: aplica padrões, como NIST 800-190 e CIS Benchmarks.

As funções de análise de aplicações ajudam a identificar vulnerabilidades e outros problemas de segurança em aplicações nas fases iniciais do ciclo de vida. Ao alterar a segurança remanescente do ciclo de vida de DevOps, é possível identificar e solucionar as vulnerabilidades mais cedo para evitar trabalho em dobro mais tarde.

Métodos de análise de aplicações

• Teste estático de segurança de aplicações (SAST): analisa o código em desenvolvimento em busca de vulnerabilidades e problemas de qualidade.
• Análise de composição de software (SCA): examina pacotes dependentes incluídos nas aplicações para encontrar vulnerabilidades conhecidas e problemas de licenciamento.
• Ferramentas de teste interativo de segurança de aplicações (IAST) e de teste dinâmico de segurança de aplicações (DAST): analisam as aplicações em execução para encontrar vulnerabilidades no funcionamento.

A análise de aplicações também inclui outros métodos de segurança, como os recursos de gerenciamento de configuração de GitOps e de gerenciamento de riscos em imagens de containers, por exemplo, a funcionalidade de detecção de malware, segredos incorporados e defeitos de configuração.

Os métodos de gerenciamento de identidade e acesso (IAM) servem para controlar o acesso a ativos, aplicações e dados on-premises e na nuvem com base na identidade do usuário ou da aplicação e nas políticas definidas pelo administrador. Esses métodos estão presentes em todos os estágios do ciclo de vida de DevOps e ajudam a proteger o sistema contra o acesso não autorizado e o movimento lateral.

Métodos de IAM

• Controles por autenticação e autorização: verificam a identidade de usuários e aplicações para conceder acesso a funções e recursos específicos.
• Controles de acesso baseado em função (RBACs): concedem a grupos de usuários o acesso a recursos ou funções com base nas responsabilidades do cargo. Isso simplifica a administração e a integração, além de reduzir o acúmulo de privilégios.
• Provedores de identidade, cofres de segredos e módulos de segurança de hardware (HSMs): gerenciam e protegem credenciais de segurança, chaves, certificados e segredos tanto em repouso quanto em trânsito.

Alguns outros métodos de IAM são as funções de verificação de assinatura e procedência de imagens de container que validam a autenticidade e estabelecem a confiança.

Os métodos e as tecnologias de conformidade ajudam você a aderir às políticas empresariais e regulamentações governamentais e setoriais. Esses elementos automatizam a validação da conformidade e a geração de relatórios ao longo do pipeline de DevOps. Eles ajudam a simplificar as auditorias e a evitar ações judiciais e multas regulatórias.

Esses métodos ajudam a aumentar a conformidade com várias normas para privacidade de dados e segurança das informações, incluindo:

• Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI-DSS).
• Padrão de gerenciamento da segurança da informação ISO 27001.
• Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) dos EUA.
• Regulamento Geral sobre a Proteção de Dados (GDPR) da UE.

Os controles e métodos de segmentação de rede permitem controlar, segregar e visualizar o tráfego do Kubernetes. Eles ajudam a isolar locatários e proteger os fluxos de comunicação entre aplicações conteinerizadas e microsserviços.

Controles e métodos de segmentação de rede

• Políticas de segurança de rede do Kubernetes: controlam os fluxos do tráfego no nível do endereço IP ou da porta. Essas políticas podem ser aprimoradas com controles de tráfego de entrada/saída dos clusters, geração de relatórios e visualização de rede.
• Rede definida por software (SDN): oferece uma estrutura de rede programável e adaptável que é provisionada em tempo real para atender a requisitos de segurança dinâmicos e novas demandas empresariais.
• Service mesh: oferece autenticação, autorização, segmentação e visualização de rede para aplicações conteinerizadas e microsserviços.

Os métodos e as tecnologias de controle de dados ajudam a proteger a integridade dos dados e impedir divulgações não autorizadas. Eles protegem os dados em repouso e em trânsito, ajudando a preservar a confidencialidade das informações dos clientes e a propriedade intelectual.

Métodos de controle de dados

• Criptografia de dados: oferece recursos de criptografia, tokenização e mascaramento de dados e gerenciamento de chaves para impedir divulgações não autorizada dos dados armazenados em bancos de dados, arquivos e containers.
• Proteção de dados: detecta e classifica os dados, além de monitorar e auditar as atividades para proteger informações confidenciais e aumentar a conformidade.

Os métodos de análise e proteção do ambiente de execução de produção ajudam a higienizar os clusters ao identificar e mitigar atividades suspeitas e nocivas em tempo real.

Métodos de análise e proteção do ambiente de execução

• Controlador de admissões: funciona como um guardião do Kubernetes que rege e aplica as permissões do que pode ser executado no cluster.
• Análise comportamental de aplicações no ambiente de execução: examina a atividade do sistema e detecta em tempo real as ações suspeitas ou nocivas de maneira inteligente.
• Autoproteção de aplicações no ambiente de execução (RASP): detecta e bloqueia ataques cibernéticos em tempo real.
• Gerenciamento de APIs: controla o acesso a APIs e protege o tráfego delas.

Os métodos de auditoria e monitoramento disponibilizam informações sobre incidentes de segurança no ambiente de produção. Eles descrevem quando os eventos ocorreram, estabelecem uma causa provável e dão informações sobre as áreas afetadas. Isso melhora a visibilidade e acelera a resposta aos incidentes.

Alguns métodos de auditoria e monitoramento são:

• Gerenciamento de eventos e informações de segurança (SIEM): centraliza o relato de eventos com a consolidação de registros e dados de fluxo da rede gerados por aplicações, dispositivos e endpoints distribuídos.
• Análises forenses: oferece insights sobre violações de segurança e evidências para fundamentar auditorias de conformidade, além de acelerar os esforços de recuperação.

Os métodos de correção agem automaticamente quando ocorrem incidentes de segurança no ambiente de produção. Eles ajudam a aumentar o uptime e a evitar a perda de dados.

Métodos de correção

• Plataformas de orquestração, automação e resposta de segurança (SOAR): respondem aos incidentes de segurança ao automatizar ações e fazer a integração com outras ferramentas.
• Correção de causa raiz: soluciona automaticamente os problemas relacionados a erros de configuração do Kubernetes e infrações a políticas. 

O framework de DevSecOps da Red Hat estabelece uma base confiável e escalável que ajuda a aumentar a segurança do DevOps e a reduzir os riscos. A Red Hat e os nossos parceiros têm a tecnologia necessária para simplificar e acelerar a implementação do DevSecOps. Entre em contato conosco para mais informações.