Os aplicativos nativos da nuvem, construídos em arquiteturas como contêineres e Kubernetes, são compostos por muitos microsserviços interconectados que são executados na infraestrutura de nuvem. E essas arquiteturas continuam a aumentar em termos de adoção. Por isso, cada vez mais as soluções de tecnologia incluem recursos de Shift Left Testing para melhorar a postura de segurança já durante o desenvolvimento.
De acordo com a Cloud Native Computing Foundation (NCF), 96% das organizações estão atualmente usando ou avaliando o uso do Kubernetes. Essa adoção é impulsionada pelas muitas vantagens que o Kubernetes traz, incluindo prazos de lançamento mais curtos, custos de TI mais baixos, maior escalabilidade e flexibilidade em ambientes de várias nuvens.
Por esses motivos, as equipes de desenvolvimento e DevOps estão migrando para o Kubernetes para que possam implantar seus aplicativos diariamente ou semanalmente e entregar o máximo de valor comercial possível aos usuários finais.
Além da adoção de contêiner e Kubernetes, as empresas estão aproveitando a infraestrutura como código (IaC) como uma tecnologia e processo para provisionar a infraestrutura em nuvem de forma rápida e repetida.
Tecnologias como modelos do AWS CloudFormation, modelos do HashiCorp Terraform e arquivos YAML do Kubernetes podem ser compartilhados entre as equipes de desenvolvimento e DevOps. Isso permite que as equipes provisionem a infraestrutura de nuvem repetidamente sem escrever arquivos longos e tediosos do zero.
Shift left Testing: uma abordagem para lidar com riscos a partir do zero
Muitas equipes de DevOps e segurança estão familiarizadas com os requisitos de segurança de tempo de execução para aplicativos nativos da nuvem, incluindo a priorização de vulnerabilidades, identificação de configurações incorretas, detecção de ameaças e prevenção de atividades maliciosas e proteção das configurações da rede.
No entanto, muitos desses riscos podem ser abordados no desenvolvimento para garantir que os aplicativos e a infraestrutura sejam seguros por padrão. Por conta disso, soluções que contem com uma abordagem Shift Left Testing são essenciais também para o ambiente cloud.
Por exemplo, se as equipes de desenvolvimento e DevOps verificarem suas imagens de contêiner e modelos de IaC em busca de vulnerabilidades e configurações incorretas, será possível corrigir seus principais riscos como parte dos fluxos de trabalho de integração e entrega contínuas.
Gestores de segurança são responsáveis por todos os aspectos do programa de governança, incluindo trabalhar com várias equipes para garantir que os aplicativos sejam totalmente testados e implantados com segurança na produção.
As empresas nativas da nuvem agora podem contar com o Orca Security para integrar os recursos do Shift Left Testing com segurança nas fases de build, deploy e run, tanto em ferramentas nativas quanto na Orca Cloud Security Platform. Isso fornece às equipes de DevOps e de segurança o contexto necessário para dar suporte a fases críticas de CI/CD no ciclo de vida de desenvolvimento.
A plataforma Orca traz diferenciação para organizações nativas da nuvem com a capacidade de combinar contexto de tempo de execução com detalhes de vulnerabilidade e conformidade em todo o ciclo de vida do aplicativo. Por exemplo, as organizações agora podem detectar riscos críticos que geralmente surgem no desenvolvimento, incluindo os seguintes problemas
- Exposição de dados confidenciais: controles sensíveis ao contexto, em que um modelo de IaC pode configurar um bucket de armazenamento inseguro que armazena PII.
- Detecção de segredos: identificar segredos em que uma chave privada como parte de uma varredura de CI pode permitir riscos de movimento lateral.
- Riscos de produção ligados ao CI : conectar a origem dos artefatos e o CI exato que os escaneou e atribuir automaticamente novos problemas diretamente à equipe de desenvolvimento ou DevOps
Orca CLI
Para apoiar as equipes de desenvolvimento e aplicações, a Orca agorta também conta, integrada à sua plataforma, de uma interface de linha de comando, a Orca CLI – que permite aos times envolvidos digitalizar imagens e modelos de IaC, visualizar resultados em suas ferramentas nativas e comunicar as descobertas à plataforma Orca.
O Orca CLI é compatível com qualquer ferramenta de CI padrão, como GitHub Actions, Jenkins, CircleCI, Bamboo ou Bitbucket.
Shift Left Testing na Orca
Na interface do usuário do Orca, os usuários verão uma nova guia chamada Shift Left. O painel Shift Left mostra as três exibições a seguir: (1) Políticas que as equipes definem para as imagens e modelos de IaC, (2) Projetos para agrupar usuários em suas organizações e (3) Logs de verificações listando todas as verificações e resultados em um só lugar.
A interface do usuário do Orca apresenta um catálogo de políticas de arrastar e soltar que inclui políticas de vulnerabilidade e conformidade pré-criadas, bem como a capacidade de adicionar políticas personalizadas.
As políticas podem ser configuradas para alertar ou impedir que as compilações avancem no processo de desenvolvimento com resultados mostrados nas ferramentas nativas do desenvolvedor e na plataforma Orca.
É importante ressaltar que as políticas podem ser atribuídas globalmente ou a um projeto específico, que provavelmente representa uma equipe ou grupo na organização. Essa personalização flexível permite que as equipes de segurança ajustem as políticas para equipes específicas em toda a empresa.
Com esses aprimoramentos do Shift Left Testing na plataforma Orca, as equipes de segurança agora podem fazer parceria com equipes de desenvolvimento e DevOps em toda a organização para detectar vulnerabilidades e defeitos, corrigir esses riscos e habilitar políticas para impedir que eles aconteçam novamente.
Em última análise, isso ajuda as organizações a alcançar um nível mais alto de qualidade e segurança de código do que nunca e evitar problemas de segurança prejudiciais e caros no tempo de produção.
Veja como a solução Orca Security pode ajudar a sua empresa com a segurança na nuvem. Conheça mais sobre a solução e solicite uma demo para a equipe da Evolutia.
