Per un flusso di lavoro DevOps veramente efficiente, l'approccio allo sviluppo e la sicurezza IT devono essere uniti. La trasformazione da DevOps a DevSecOps e quindi la sicurezza delle applicazioni senza soluzione di continuità può essere supportata da vari servizi e strumenti, come la piattaforma cloud Prisma di Palo Alto Networks.
Il tempo è denaro: sempre più aziende stanno utilizzando modelli DevOps per rendere la consegna delle applicazioni più flessibile, efficiente e veloce. Il tutto viene implementato abbattendo i silos di dati e migliorando la comunicazione nei team coinvolti. I risultati positivi sono di solito rilasci più veloci, prodotti di qualità superiore e maggiore soddisfazione dei clienti. Tuttavia, le aziende spesso trascurano l'aspetto della sicurezza quando implementano DevOps.
Shift Left
In sostanza, DevSecOps è un modello di collaborazione tra i team di sviluppo (Dev), sicurezza IT (Sec) e operazioni IT (Ops) - attraverso l'intero processo di sviluppo, dall'integrazione e test alla distribuzione e implementazione. Se un approccio DevOps deve diventare DevSecOps, la sicurezza deve essere introdotta il più presto possibile nello sviluppo con l'aiuto di strumenti e automazione come parte della catena di fornitura esistente o di nuova costituzione. Questo è spesso indicato come l'approccio shift-left. Descrive lo spostamento di varie misure di sicurezza a sinistra, cioè in fasi precedenti del ciclo di vita del software. "Per essere precisi, al più presto possibile, invece di effettuare i necessari controlli degli aspetti di sicurezza alla fine del ciclo di vita e come una sorta di blocco del rilascio, come in molte implementazioni tradizionali. Questo richiede una stretta integrazione tra lo sviluppo del software e la sicurezza informatica e i team coinvolti. Sia a livello di processo che di strumenti utilizzati", spiega Martin Zeitler, direttore del Systems Engineering presso l'esperto di sicurezza Palo Alto Networks.
Implementare DevSecOps
All'inizio del ciclo di vita di un software, gli aspetti della sicurezza IT dovrebbero essere testati oltre alla sua funzionalità. Questo include già la selezione dei componenti software, come l'immagine di base e il contenuto affidabile, così come la selezione e la configurazione dell'infrastruttura e della piattaforma utilizzata. È qui che entrano in gioco la Continuous Integration (CI) e la Continuous Delivery o Continuous Deployment (CD).
CI/CD è la raccolta di tecniche e strumenti per migliorare lo sviluppo e la consegna del software fornendo approcci per l'automazione continua e il monitoraggio durante tutto il ciclo di vita del software. Si parla di pipeline CI/CD quando i passi nella consegna del software si costruiscono l'uno sull'altro in modo automatizzato come un processo di feedback autonomo. "Questo può evitare che le applicazioni che non soddisfano i requisiti minimi e le politiche definite corrispondenti non vengano salvate affatto o almeno non possano essere utilizzate ulteriormente", dice Zeitler. I componenti utilizzati, per esempio le immagini dei container, le applicazioni serverless o le specifiche dell'applicazione, sono così controllati non solo per le vulnerabilità di sicurezza conosciute, ma anche per gli errori di configurazione e le violazioni delle regole di conformità. Qui si possono usare vari metodi di applicazione delle politiche.
Lo strumento giusto
Palo Alto offre la sua piattaforma di sicurezza cloud-native Prisma Cloud in modo che i team coinvolti possano considerare tutti gli aspetti rilevanti per la sicurezza nelle varie fasi. Lì, i processi di sviluppo possono essere controllati per le vulnerabilità e la conformità alla politica su diverse piattaforme, infrastrutture cloud e tipi di applicazioni. Per proteggere tutte le fasi del processo anche in complesse infrastrutture multi-cloud e ambienti ibridi, c'è Palo Alto Prisma Cloud Compute Edition. Questo include anche le funzioni per un efficace approccio DevSecOps: Valutazione della vulnerabilità, conformità, integrazione CI/CD, monitoraggio del comportamento di runtime, firewall cloud-native e controlli di accesso.