O Provisionamento elástico Just-in-Time de segredos DevOps

A transformação digital, agora acelerada pela pandemia de Covid-19, impulsionará negócios como Cloud, Serviços de TI e Desenvolvimento. Neste contexto, os novos métodos de desenvolvimento de softwares ágeis, como o DevOps, mudaram de forma significativa o modo como as empresas operam, permitindo um aumento de velocidade e eficiência do desenvolvimento de software. Vale lembrar, no entanto, que os investimentos em Segurança da Informação precisarão ser executados para mitigar os riscos de negócio associados.

Segundo o Gartner, até 2021, as práticas de DevSecOps (ou seja, a adoção de práticas de Segurança nos processos de Desenvolvimento e Operações) serão adotadas em 60% dos times de desenvolvimento ágeis, contra 20% em 2019. Assim, neste artigo, apresentamos o cenário de DevOps, os conceitos de cibersegurança associados e a Gestão de Acesso Privilegiado, bem como o senhasegura como solução de PAM, auxiliando a proteção de segredos em ambientes DevOps para garantir as práticas DevSecOps.

Qual a importância de um DevOps?

Em tempos de entregas rápidas e resultados imediatos, os ambientes DevOps surgiram para suprir a necessidade de entregas de alta qualidade em menor tempo possível. Assim, por meio do uso extensivo de automação para construção e testes e da integração de processos entre os times de Desenvolvimento e Operações, é possível acelerar as atividades de desenvolvimento de produtos. Essas atividades incluem construção, teste e lançamento de software, de forma rápida e confiável. No entanto, os ambientes DevOps são complexos em termos de infraestrutura e cultura. Deste modo, muitas empresas não estão estruturalmente preparadas para implementar o DevOps de forma adequada. E o que havia sido projetado para trazer agilidade e qualidade ao processo de desenvolvimento, se mal implementado, pode ser um meio de criar vulnerabilidades e lacunas na postura de cibersegurança. Ao mesmo tempo, segurança não deve ser um fator que aumente o tempo de desenvolvimento.

Como uma forma de trabalho nova, os problemas de segurança do DevOps são novos. Por isso, os clientes ainda estão aprendendo como resolvê-los e os desenvolvedores de soluções criando formas de resolver essas novas dores. Dores essas que estão espalhadas por todo o processo do pipeline de desenvolvimento do pipeline de DevOps, desde o planejamento e construção do produto até a implementação e monitoramento.

No entanto, atualmente, apenas 46%¹ dos profissionais de TI estão mapeando os riscos de segurança nas fases iniciais do desenvolvimento. Assim, com a segurança em segundo plano, os times de DevOps podem subestimar práticas básicas de cibersegurança. Em ambientes DevOps, que dependem em código, desenvolvedores descuidados podem permitir vazamentos de informações confidenciais, como secrets, através de APIs ou contêineres mal configurados, sem a percepção de risco pelos administradores 

A solução para este problema é a seguinte: separar secrets sensíveis do time de Desenvolvimento. Essa solução não precisa consumir muitos recursos. Na verdade, a gestão de segredos ou secret management é uma extensão da Gestão de Acesso Privilegiado, em alguns casos já implementados na organização, e ocorre no pipeline de desenvolvimento.  Neste contexto, uma das abordagens utilizadas pelos fabricantes de soluções de segurança é o provisionamento de acesso Just-in-time.

¹ 2018 Secure DevOps: Fact or Fiction?

Como o Just-in-Time pode ajudar?

O objetivo do just-in-time é permitir o acesso a aplicações ou sistemas apenas em períodos predeterminados, e sob demanda. Assim, através do just-in-time, as organizações são capazes de conceder privilégios a credenciais, tanto pessoais quanto de máquina, para assim fornecer acesso privilegiado granular a uma aplicação ou sistema, apenas para a realização de determinada tarefa. Esse tipo de acesso é uma das formas utilizadas para provisionar e conceder acesso de forma segura, e assim reduzir a superfície de ataque e os riscos de cibersegurança associados.

MT4: senhasegura é um fornecedor de PAM que se concentra em reduzir a complexidade e acelerar a maturidade em ambientes DevOps. O senhasegura DevOps Secret Management (DSM) pode ajudar as organizações a aumentar a segurança por meio da jornada do DevSecOps. Através deste módulo, é possível varrer o pipeline de desenvolvimento para detectar dados sensíveis, permitir a rotação de segredos sem necessidade de refatoramento de código e, desta forma, isolar dados sensíveis em produção dos times de desenvolvimento.

Um dos casos de uso introduzidos pelo senhasegura é o provisionamento elástico de segredos Just-inTime – o senhasegura permite que cada aplicação de um contêiner tenha o seu próprio secret. Desta maneira, os pods de aplicação no Kubernetes utilizam as APIs de integração do senhasegura DevOps Secret Management para gerenciar os secrets de cada uma das aplicações. Os secrets são provisionados no senhasegura no modo Just-inTime, ou seja, somente quando o secret é necessário. Além disto, um secret é provisionado para cada pod, permitindo que os secrets sejam utilizados apenas pelos seus respectivos pods. Além disto, o senhasegura desprovisiona os secrets após a sua utilização, reduzindo a superfície de ataque.

Assim, o senhasegura é capaz de alavancar a infraestrutura do PAM para fornecer uma ferramenta de gerenciamento de segredos, se beneficiando da plataforma de segurança senhasegura, reconhecidamente fácil de implantar e usar. A implementação do senhasegura permite, desta maneira, reduzir os riscos de segurança e o time to value em organizações ágeis. 

Para um ambiente focado em ações individuais, aplicar efetiva a gestão de segredos e se preocupar com quem tem acesso é crítico para construir esse ambiente em pipeline. Assim, ao aumentar a visibilidade sobre as funções e sobre os acessos às informações do pipeline, as organizações conseguem reduzir o risco de vazamentos de dados, que podem levar à perda de receita e de confiança de parceiros, clientes e fornecedores.

Finalmente, o contexto de gestão de segurança em ambientes DevOps não está inserido no processo atual de DevOps. A partir da integração de protocolos básicos de gestão de privilégios, as organizações podem se assegurar de que segurança seja priorizada e garantida no processo de desenvolvimento.