5min. de leitura

Você provavelmente já ouviu falar de DevOps, mas e quanto a DevSecOps? DevSecOps se refere ao conceito de tornar a segurança do software uma parte central do processo geral de entrega de software.

Para entender por que isso é importante, é necessário pensar sobre como a segurança do software costumava funcionar. Tradicionalmente, as operações de segurança de software eram executadas separadamente dos outros processos necessários para produzir software. Os desenvolvedores escreviam o código e as equipes de TI o implantavam sem se preocupar muito com a segurança. Somente depois que o software era escrito e colocado em ambientes de produção que os engenheiros de segurança verificavam as possíveis vulnerabilidades no código ou nos ambientes que o hospedavam.

Essa abordagem de segurança de software é altamente ineficiente, especialmente em ambientes de nuvem, onde a velocidade de implantação é acelerada. Se um problema de segurança fosse detectado, geralmente seria necessário retirar o código que já havia sido escrito e implantado. Isso também significava que os problemas muitas vezes não eram detectados até que o software já estivesse em produção, deixando as organizações expostas a ameaças de segurança.

DevSecOps, também conhecido como segurança “shift left”, resolve esses problemas integrando a segurança em todos os estágios do processo de entrega de software. Isso garante que os desenvolvedores pensem na segurança ao escrever o código, que o software seja testado quanto a problemas de segurança antes de ser implantado e que as equipes de TI tenham planos para resolver os problemas de segurança rapidamente, caso apareçam após a implantação.

DevSecOps baseia-se no DevOps
DevSecOps não é uma alternativa ao DevOps. Ele simplesmente estende o conceito central por trás do DevOps – a ideia de que os desenvolvedores e as equipes de TI devem trabalhar juntos, em vez de separados, de modo a incluir a segurança nos sistemas. DevSecOps eficaz significa adotar o DevOps e integrar a segurança em todo o pipeline de CI/DC.

DevSecOps é uma cultura, não uma ferramenta
Muitas ferramentas e processos podem ajudar uma organização a obter DevSecOps, mas, em última análise, DevSecOps não é uma ferramenta ou processo específico. É uma cultura.

DevSecOps se resume a incutir os valores culturais corretos em uma organização. Desenvolvedores, equipes de TI, especialistas em segurança e todos os outros envolvidos no fornecimento de software devem aceitar a ideia de que a segurança do software deve ser a prioridade n.º 1 em tudo o que fazem. Antes de tomar qualquer decisão relacionada a um aplicativo, toda a sua equipe deve pensar sobre as implicações de segurança. Se isso acontecer, você alcançou o DevSecOps.

Implementação do DevSecOps
Das alternativas possíveis para alcançar DevSecOps, a melhor – ou a solução ideal – para sua organização dependerá de suas necessidades. Em geral, essas são as estratégias que ajudarão a implementar uma cultura DevSecOps em sua organização:

  • Educação: Certifique-se de que todas as partes interessadas no processo de fornecimento de software compreendam as ameaças de segurança modernas e a importância de levá-las em consideração.

  • Comunicação: Crie canais de comunicação eficazes entre todos os membros da equipe para que eles possam compartilhar rapidamente informações sobre questões de segurança.

  • Manuais de segurança: Desenvolva “manuais” que especificam como os diferentes membros da equipe devem responder a um determinado tipo de incidente de segurança.

  • Adote as ferramentas certas: Procure ferramentas de segurança da nuvem baseadas em API que ajudem a automatizar a aplicação de políticas de segurança e conformidade na nuvem.

Como fazer com que os desenvolvedores se preocupem com a segurança
Ao tentar implementar DevSecOps, a maioria das organizações obtém a maior resistência por parte de suas equipes de desenvolvedores. A pergunta é: Como você pode convencer os desenvolvedores a se preocupar com a segurança, adicioná-la à sua carga de trabalho e aprender o conjunto necessário de habilidades técnicas?

É aqui que a ferramenta certa pode servir como um catalisador para sua transformação DevSecOps. Ao implementar ferramentas que utilizam APIs de provedor de nuvem para automatizar políticas, os desenvolvedores podem aprender à medida que avançam, evitando cometer erros que podem causar sérios danos à empresa. Você pode aproveitar as ferramentas nativas da nuvem para automatizar políticas no AWS. No entanto, se você usa uma implantação de várias nuvens, está sujeito a regulamentos de conformidade rígidos ou tem um ambiente AWS que é expandido para mais do que algumas contas, provavelmente precisará de uma ferramenta de terceiros para fazer isso de forma eficaz e gerenciar tudo em um console. Para obter dicas sobre como selecionar a ferramenta certa, confira esta publicação do blog.

Para ouvir em primeira mão como o DHI Group criou com sucesso uma cultura DevSecOps, confira esta publicação do blog: Passar de “DevOps vs. SecOps” para DevSecOps.

Folha de dados

Prisma Cloud Compute Edition: resumo

Leia o documento de resumo para saber como funciona.

  • 371

rc.type.book

Guia do portfólio da Palo Alto Networks

Segurança exige simplicidade. Os produtos da Palo Alto Networks são concebidos para que as equipes possam operar de forma simples e eficaz para proteger a sua organização. Nosso portfólio oferece a prevenção de ataques bem-sucedidos e a interrupção de ataques em andamento, para proteger a empresa, a nuvem e o futuro.

  • 196

Folha de dados

Prisma Cloud: resumo

Com o Prisma Cloud da Palo Alto Networks, as organizações podem manter a conformidade, controlar a segurança e viabilizar operações de segurança em ambientes de computação na nuvem pública.

  • 414

Folha de dados

Prisma Cloud para Microsoft Azure

O Prisma™ Cloud (antigo RedLock) é um serviço de segurança e conformidade que descobre dinamicamente mudanças nos recursos da nuvem e correlaciona continuamente fontes de dados brutos e em silos, incluindo atividade do usuário, configurações de recursos, tráfego de rede, inteligência de ameaças e feeds de vulnerabilidade, para fornecer uma visão completa do risco da nuvem pública. Por meio de uma abordagem inovadora e impulsionada pelo aprendizado de máquina, o Prisma permite que as organizações priorizem com rapidez os tipos de riscos, mantenham agilidade no desenvolvimento e cumpram suas obrigações de forma eficiente no Modelo de Responsabilidade Compartilhada.

  • 454

Folha de dados

Prisma Cloud for Amazon Web Services

O Prisma™ Cloud (antigo RedLock) é um serviço de segurança e conformidade que descobre dinamicamente mudanças nos recursos da nuvem e correlaciona continuamente fontes de dados brutos e em silos, incluindo atividade do usuário, configurações de recursos, tráfego de rede, inteligência de ameaças e feeds de vulnerabilidade, para fornecer uma visão completa do risco da nuvem pública. Por meio de uma abordagem inovadora e impulsionada pelo aprendizado de máquina, o Prisma permite que as organizações priorizem com rapidez os tipos de riscos, mantenham agilidade no desenvolvimento e cumpram suas obrigações de forma eficiente no Modelo de Responsabilidade Compartilhada.

  • 336

Folha de dados

Prisma Cloud para GCP

O Prisma™ Cloud (antigo RedLock) é um serviço de segurança econformidade que descobre mudanças nos recursos da nuvem e correlaciona continuamente fontes de dados brutos e em silos, incluindo atividade do usuário, configurações de recursos, tráfego de rede, informações sobre ameaças e feeds de vulnerabilidades, para fornecer uma visão completa do risco da nuvem pública. Por meio de uma abordagem inovadora e impulsionada pelo aprendizado de máquina, o Prisma permite que as organizações priorizem com rapidez os tipos de riscos, mantenham agilidade no desenvolvimento e cumpram suas obrigações de forma eficiente no Modelo de Responsabilidade Compartilhada.

  • 255

COMPANHIA

Avisos legais

Conta

  • Facebook
  • Linkedin
  • Twitter
  • Youtube

© 2020 Palo Alto Networks, Inc. All rights reserved. Todos os direitos reservados.