Dopo l’integrazione tra sviluppo e operazioni nel paradigma DevOps, l’evoluzione sta portando a una veloce adozione della sicurezza nel modello DevSecOps per la devops security.
Il software e le infrastrutture possono oggi essere efficienti e sicuri, indipendentemente dalla loro complessità storica. Al di là di mode e nomi che si danno agli approcci, infatti, la soluzione è una corretta impostazione basata sulla competenza fin dall’inizio. Risparmiare sperando nella fortuna può portare, al contrario, a una compromissione della sicurezza aziendale e dell’efficienza dei processi.
Parlando di ICT e sicurezza, i sistemi informativi moderni propongono sempre gli ambienti cloud-native sicuri come punto di riferimento per qualsiasi infrastruttura. Le varie ondate di sistemi legacy vengono oggi trattate con varie tecniche che le rendano compatibili con il cloud.
A sua volta, il cloud amplia il perimetro dei controlli di sicurezza, richiedendo granularità differenziate per ottenere una difesa realistica. Anche lo smart working ha ampliato il perimetro di controllo, inserendosi – come il cloud – in una più ampia spinta innovativa: l’iperconnettività.
Fino a pochi anni fa la sicurezza era gestita monoliticamente a valle del processo di sviluppo e la manutenzione di software e sistemi era eseguita secondo regole che oggi farebbero sorridere.
Nelle condizioni attuali, invece, la sicurezza è centrale e deve diventare il punto di partenza dello sviluppo di software e infrastrutture. La devops security si basa su una pipeline con controllo continuo e richiede granularità costante.
CI/CD e IT Automation
Una tendenza dello sviluppo di software moderno è l’automazione spinta applicata al codice. Ridurre i carichi di lavoro sugli sviluppatori grazie alla riscrittura dei processi in modo da aumentare le parti sviluppate in automatico è una necessità dei sistemi d’oggi. L’automazione è anche una procedura che aumenta la sicurezza, in quanto il codice generato in automatico è facilmente analizzabile e la sua documentazione, anch’essa scritta in automatico, permette una gestione lunga nel corso degli anni. Ecco perché l’IT Automation è oggi essenziale per robustezza e durata del ciclo di vita della security by design.
L’automazione della pipeline è il volano che fa girare tutti i meccanismi. La scelta degli strumenti più adatti va fatta considerando l’intero ciclo di produzione. La base è certo in ambienti noti come Github e Gitlab, ma molte alternative stanno guadagnando l’interesse del mercato e tra queste WhiteSource, Snyk e Checkmarks.
Ciascuna di queste soluzioni ha una sua mappa di applicazione, per cui bisogna conoscere bene sia loro sia le necessità dell’azienda. Spesso Checkmarkx viene confrontata con Netsparker, ma a leggere le specifiche si tratta di prodotti molto differenti per livello di applicazione e prezzo. Per una prima valutazione sulla carta è talvolta utile il tool Gartner Peer Insights. Anche Qualis e Wallarm vanno considerati nella fascia di Netsparker, ma spesso le competenze interne non bastano.
Zero trust: la granularità dev’essere costante
Per essere efficace, il monitoring continuo richiede lo stesso livello di attenzione per servizi, controlli e sviluppo. Ancor oggi, la vecchia sicurezza informatica propone soluzioni locali con granularità molto diverse. Per esempio, l’applicazione è protetta da un suo firewall con una soluzione WAF. Svariati attacker oggi usano tecniche indirette che permettono loro di studiare i sistemi dal di dentro e trovare un punto di attacco diverso da quello di ingresso. Più sono i punti da difendere, più è difficile difendere un sistema complessivo.
In condizioni di iperconnettività l’azienda non può aver fiducia in nessun dispositivo (hardware o software). Questa filosofia si chiama Zero Trust, appunto fiducia. Una strategia d’implementazione è la microsegmentazione, una tecnica di data center che suddivide in modo logico il data center in segmenti di sicurezza, scendendo fino al singolo carico di lavoro: in questo modo le possibilità di attacco sono ridotte e il controllo complessivo anche dei devops security manager aumenta.
Managed services per la gestione della sicurezza
Reingegnerizzare i processi per poterne sviluppare il software in modo automatico permette ai DevSecOps di concentrarsi sul core business dal quale dipendono competitività e sopravvivenza dell’azienda.
La stessa cosa avviene in alcune aree della gestione dei servizi ICT. Laddove dimensioni e interessi dell’azienda lo richiedano, ci si può affidare a servizi gestiti da consulenti, i managed service provider.
In quest’area troviamo anche i servizi di managed security. Un team specializzato può fare monitoring gestito, con interventi programmati che evitano a priori l’insorgere di gran parte dei problemi di sicurezza che si verificherebbero altrimenti.
