Desenvolvimento Seguro em Cloud, primeiros passos

08 de Setembro de 2020 por José Augusto Ferronato (*)

Você que está nos acompanhando, já viu os artigos sobre Modernização de Aplicações como uma Estratégia Financeira, aonde a abordagem Cloud Native te ajuda a reduzir custos com aplicação, e também viu como funciona um DevSecOps na Prática e entendeu a relevância de uma esteira madura, neste artigo vamos abordar um desafio, que não é recente mas que tem grande valor, o Desenvolvimento Seguro em Nuvem.

Com a crescente migração de aplicações para a Nuvem, e também o nascimento de aplicações já para a nuvem, o foco em desenvolvimento seguro tem se tornado cada dia mais solicitado, e antes o que era mais focado em ferramentas, hoje é diferente, vai desde o processo de arquitetura, esteira de DevSecOps, Deploy e monitoramento.

Com a adoção do “Cloud-First”, as arquiteturas estão sendo redefinidas para suportar tecnologias em nuvem, microserviços, containers, api’s, elasticidade. Esse novo ambiente proporciona desafios e oportunidades.

O que era uma responsabilidade maior, ou se pensava ser, de um time de segurança, também se torna algo de responsabilidade mútua, afinal, agora você tem Engenheiros de Cloud, Segurança, Product Managers, Desenvolvedores. Soma-se a isso a entrega com o uso de métodos ágeis, o fluxo é muito mais vivo e as entregas precisam ser cada vez mais rápidas, mas em conformidade com leis e regulamentos que vem sendo aprovados pelo mundo como a GDPR na Europa e a LGDP aqui no Brasil. A garantia de segurança se torna cada vez mais requerida dentro das organizações

Mas o que eu preciso me preocupar na hora de criar uma aplicação?

De acordo com estudos, a adoção do Ágil e DevOps reduzem a entrega de produtos defeituosos, grande parte do processo de testes, build, algumas validações já podem ser feitas automaticamente por esteiras de desenvolvimento, importante construir uma esteira madura e facilitar a mitigação de riscos já no desenvolvimento.

 

A Adoção de um modelo de SDL - O Security Development Lifecycle (SDL) consiste em um conjunto de práticas que oferecem suporte a requisitos de garantia e conformidade de segurança. O SDL ajuda os desenvolvedores a construir um software mais seguro, reduzindo o número e a gravidade das vulnerabilidades do software, enquanto reduz o custo de desenvolvimento - É algo que deve começar a fazer parte dos times que desenvolvem aplicações e estendidos aos Engenheiros e papéis envolvidos, algo que deve ser cultura de uma organização, um bom material é o SDL da Microsoft.

 

Algumas boas práticas devem ser observadas como passos iniciais:

  • Arquitetura com o princípio de “Segurança no Desenho”:  A seleção da tecnologia deve ser a segunda opção, as arquiteturas estão cada vez mais complexas, foque em trabalhar para que sua aplicação possa mudar de tecnologia, se necessário.
  • Integrar soluções de autenticação com suas aplicações: Importante ter um único ponto de controle sobre acessos a aplicação e a dados, facilitando o controle.
  • Encriptação dos dados em trânsito e armazenados: Extremamente importante, todos os dados trafegados e armazenados por sua aplicação devem ser criptografados, quando possível.
  • Princípio do menor privilégio para aplicações e usuários (Least Privilege): Outra coisa é garantir que suas aplicações (e usuários) só tenham acesso ao que realmente é necessário, e com o tipo de privilégio necessário (leitura, escrita, entre outras opções).
  • Aplicação que usem conexão com outros serviços com o uso de soluções de encriptação e rotação automático das senhas e chaves:  Que os dados de conexão (como senha e chaves de acesso) estejam protegidas por soluções que armazenem estes dados, e que apenas a aplicação consiga ler esses parâmetros, não precisa que o desenvolvedor saiba a senha do banco de produção, e que estes valores mudem sozinhos de tempos em tempos.

Segurança é o trabalho de todos: Desenvolvedores, StakeHolders, Engenheiros, Product Managers. Embora seja uma tarefa de todos, importante lembrar que nem todos precisam ser especialistas, e sim entender através da perspectiva de um possível ataque, assim ajudando a elevar a discussão sobre os processos.

Com isso, importante ressaltarmos sempre que o desenvolvimento de uma aplicação segura é sempre envolto por vários componentes, conexões externas, acessos, entre outros, e esses são apenas alguns dos passos que já contribuem para que possamos iniciar nossa jornada.

(*) José Augusto Ferronato é Cloud Enginner na Stefanini

Compartilhe:
Veja mais sobre

Vamos cocriar, solicite uma proposta dos nossos especialistas

Veja outros serviços capazes de complementar esta solução

O COVID-19 deixou claro que precisamos nos adaptar rapidamente à nossa nova realidade e com agilidade.

Saiba mais

Na era do COVID-19, a resiliência das empresas está sendo testada de maneiras nunca antes encontradas.

Saiba mais

Na era do COVID-19, a resiliência das empresas está sendo testada de maneiras nunca antes encontradas.

Saiba mais

O impacto do COVID-19 criou uma situação em que a necessidade do local de trabalho digital é crucial, pois grande parte da força de trabalho está sendo acelerada para atuar como nômades digitais funcionais.

Saiba mais

O COVID-19 criou condições nunca antes vistas, introduzindo cenários em constante mudança.

Saiba mais

Compreender os riscos de ter aplicativos, páginas da Web ou servidores vulneráveis ​​é muito importante para sua estratégia de gerenciamento de riscos.

Saiba mais

Veja outros serviços capazes de complementar esta solução

Necessidades Digitais

Necessidades Digitais

O COVID-19 deixou claro que precisamos nos adaptar rapidamente à nossa nova realidade e com agilidade.

Saiba mais
Construindo Negócios Resilientes

Construindo Negócios Resilientes

Na era do COVID-19, a resiliência das empresas está sendo testada de maneiras nunca antes encontradas.

Saiba mais
Reformatando Indústrias

Reformatando Indústrias

Na era do COVID-19, a resiliência das empresas está sendo testada de maneiras nunca antes encontradas.

Saiba mais
Cloud Now

Cloud Now

O impacto do COVID-19 criou uma situação em que a necessidade do local de trabalho digital é crucial, pois grande parte da força de trabalho está sendo acelerada para atuar como nômades digitais funcionais.

Saiba mais
Hyper Automation

Hyper Automation

O COVID-19 criou condições nunca antes vistas, introduzindo cenários em constante mudança.

Saiba mais
Cyber Security Plug & Play

Cyber Security Plug & Play

Compreender os riscos de ter aplicativos, páginas da Web ou servidores vulneráveis ​​é muito importante para sua estratégia de gerenciamento de riscos.

Saiba mais