.
Recurso patrocinado Não há dúvida de que a entrega rápida de software oferece várias vantagens ao simplificar os processos para os desenvolvedores. Mas no desenvolvimento de software, como na vida, não existe almoço grátis.
Pipelines automatizados de integração contínua/entrega contínua (CI/CD) criados por ferramentas como Jenkins e Concourse existem para ajudar, é claro, mas a desvantagem potencial é que eles podem aumentar a probabilidade de vulnerabilidades de segurança. E conforme as equipes de desenvolvimento se expandem para Infraestrutura como Código (IaC), a prática de implantar pipelines de CI/CD para gerenciar arquivos de configuração para projetar a infraestrutura real na qual seus aplicativos são executados está ganhando popularidade.
Essas tendências exigem que os desenvolvedores garantam que possam gerenciar com eficácia os segredos necessários para executar aplicativos e sistemas corporativos. Segredos que têm o potencial de colocar sistemas críticos em risco. As vulnerabilidades associadas podem se manifestar ao longo dos pipelines DevOps estendidos, que, nas infraestruturas corporativas híbridas de hoje, normalmente abrangem uma variedade de diferentes aplicativos, serviços e repositórios de dados hospedados interna e externamente.
Além do risco de segurança nos ciclos de DevOps de CI/CD, está a ameaça representada por entidades não humanas, que devem responder por quase 98% do total de identidades em sistemas corporativos até o final deste ano.
Identidades de máquina assumindo o controle
A escala dessa questão foi trazida à tona por uma nova pesquisa da CyberArkName, especialista líder em segurança de identidade e gerenciamento de acesso. A empresa em abril de 2022 relatório descobriram que as identidades das máquinas superam os humanos em 45 para um, o que pode significar que 98% das contas e identidades de uma organização são não humanas ou máquinas. Além disso, 68% das identidades não humanas têm acesso a dados e ativos confidenciais em redes corporativas.
Para resolver esses problemas, os desenvolvedores de software experientes agora estão reconhecendo a necessidade de proteger identidades não humanas em cadeias de suprimentos organizacionais que acessam e processam dados confidenciais hospedados em vários sistemas internos/externos e locais/fora do local, incluindo nuvem virtualizada e em contêineres ambientes.
O vice-presidente de DevOps da CyberArk, Uzi Ailon, explica como essa proliferação de entidades não humanas – que precisam ter acesso seguro a redes corporativas – está sendo alimentada por iniciativas de transformação digital corporativa e uma dependência cada vez mais difundida de ferramentas de automação.
“O crescimento de entidades não humanas em sistemas corporativos está acontecendo por causa da transformação digital”, diz ele. “Se você pensar bem, tudo está sendo mudado para ser um processo automatizado. Agora existem ferramentas que nos ajudam a substituir qualquer processo que seja repetível.”
“Mas esta é apenas uma parte. Quando falamos de desenvolvedores e DevOps, nada está acontecendo manualmente hoje. A partir do momento em que comprometo meu código, existe um script que me leva até o ambiente de teste. Existe um ambiente de teste que é executado automaticamente e, em seguida, coloco tudo em produção. Com CI/CD, há outra camada de automação; tudo está acontecendo automaticamente. Quero construir minha nuvem para ter uma API para iniciar uma nova máquina ou para iniciar um novo aplicação. Portanto, mesmo quando estou construindo meu ambiente, tudo é feito automaticamente.”
Ailon continua alertando que essa tendência de automação e dispersão de dados está criando ainda mais complexidade e vulnerabilidades de segurança potencialmente graves. E isso significa que os desenvolvedores precisam gerenciar com urgência os segredos e credenciais necessários para habilitar as contas que foram criadas durante processos automatizados.
De acordo com Ailon, as empresas com práticas de codificação de credenciais menos sofisticadas são inevitavelmente as mais vulneráveis. “Existem muitas camadas diferentes de problemas”, diz ele. “A primeira coisa sobre a qual estamos falando são as equipes de DevOps que não são muito maduras, o que definimos como uma organização de segurança básica. O que eles farão é editar as credenciais no código. Você terá dificuldades credenciais codificadas.”
Ilhas de segurança no córrego
O maior problema com credenciais codificadas é o risco de elevação de privilégio. Mesmo que invasores mal-intencionados tenham obtido credenciais para fazer login apenas em uma organização com uma conta de nível inferior, eles podem usar esse acesso para obter credenciais codificadas e, assim, segredos que lhes permitam comprometer contas de nível superior.
Para empresas com gerenciamento de credenciais mais sofisticado, esses riscos de segurança diminuem, mas não são totalmente eliminados. Ailon define o segundo escalão de segurança de credenciais como “ilhas de segurança”, que são criadas quando os desenvolvedores não codificam credenciais, mas dependem de vários cofres, dependendo das plataformas e estruturas de desenvolvimento de software que estão usando. Então, por exemplo, em toda cadeia Ansible, existe algum tipo de cofre, embora alguns deles sejam melhores que outros.
“Não é muito seguro, mas cada ferramenta vem com seu próprio cofre. O problema é que em pouco tempo, por estar usando um grande número de ferramentas, você tem o que chamamos de ilhas de segurança”, explica. “Existem segredos em Jenkins, segredos em meu script TerraForm, em meu script Infrastructure as a Service. Tenho segredos em todos os lugares.”
Isso cria vários problemas, o primeiro dos quais é a incerteza sobre a fonte da verdade se alguém precisar acessar 20 ou 30 cofres diferentes e atualizá-los manualmente. E então, o que acontece se alguém esqueceu de atualizar alguns cofres?
“Agora temos o mesmo roteiro, o mesmo segredo com um valor diferente. Qual é a fonte da verdade, qual segredo é o segredo certo?” pergunta Ailon. A última questão é a eficiência operacional para desenvolvedores e DevOps: “Digamos que algo aconteceu, um código malicioso ou um evento malicioso foi identificado em sua organização e você deseja desabilitar todas as senhas. Você não conseguirá fazer isso se não não tem o elemento central.”
Gerenciamento centralizado de segredos
A implantação da solução de gerenciamento centralizado de segredos é sem dúvida a melhor maneira de lidar adequadamente com esses problemas. Para instalações locais, o CyberArk Conjur Secrets Manager Enterprise é uma solução auto-hospedada para autenticar com segurança, controlar centralmente e auditar como aplicativos, DevOps e ferramentas de automação usam segredos e credenciais privilegiadas para acessar bancos de dados, ambientes de nuvem e outros recursos confidenciais.
Para aqueles que preferem a abordagem de software como serviço, a CyberArk desenvolveu o CyberArk Conjur Cloud, uma solução de gerenciamento de segredos baseada em SaaS alimentada pela CyberArk Identity Security Platform, um sistema que gerencia o acesso não humano e a identidade da máquina em várias nuvens e híbridas ambientes.
As soluções centralizadas de gerenciamento de segredos estão rapidamente se tornando a única opção viável em ambientes corporativos centrados na nuvem, onde o número de entidades não humanas que exigem acesso seguro quase instantâneo a sistemas de missão crítica está crescendo exponencialmente, de acordo com Ailon.
“Para os desenvolvedores e as equipes de DevOps, seremos quase transparentes. Fornecemos todas as APIs. Fornecemos todos os conectores e tudo acontecerá nos bastidores do desenvolvimento. Os desenvolvedores precisam se concentrar no desenvolvimento de um aplicação. A equipe de DevOps precisa se concentrar em garantir que eles possam executar toda a automação operacional. E a segurança precisa fornecer as posturas das políticas de segurança e o gerenciamento secreto como um serviço. E agora temos uma solução para toda a organização.”
Esse tipo de sistema de gerenciamento de segredos formou uma plataforma central em uma atualização de segurança estratégica recente por BANCO DZ AG, parte da rede financeira cooperativa Volksbanken Raiffeisenbanken e uma das maiores organizações privadas de serviços financeiros na Alemanha, com receita anual de € 3,1 bilhões e 31.400 funcionários.
O banco está abandonando as defesas baseadas em perímetro para proteger sua infraestrutura de TI ao adotar um modelo de computação em nuvem, explica um especialista em segurança de TI do DZ BANK. Juntamente com a mudança para a computação em nuvem e o trabalho remoto, reconheceu que as organizações de serviços financeiros estavam enfrentando ataques cibernéticos cada vez mais sofisticados.
“A ameaça é certamente mais desafiadora. Devido a mudanças como computação em nuvem, software como serviço e trabalho remoto, as identidades internas estão sendo expostas no mundo exterior.”
Essa migração de segurança estratégica centrou-se no fortalecimento do DZ BANK e no aprimoramento do tratamento do gerenciamento de acesso privilegiado (PAM). Ela implementou uma solução CyberArk Identity Security que inclui o CyberArk Privileged Access Manager, o CyberArk Conjur Secrets Manager Enterprise e o CyberArk Identity. A atualização trouxe vários benefícios, incluindo a satisfação dos requisitos de auditoria e conformidade e a redução dos riscos cibernéticos.
Em outro lugar TIAA, fornecedora líder de serviços financeiros para os setores acadêmico, de pesquisa, médico, cultural e governamental, obteve benefícios semelhantes de uma recente atualização de gerenciamento de segurança e segredos. Fundada em 1918 por Andrew Carnegie, a organização tem US$ 1 trilhão em ativos combinados sob gerenciamento e reconheceu a necessidade de gerenciamento aprimorado de segredos para aplicativos e gerenciamento de acesso privilegiado ao migrar sistemas críticos para a nuvem.
Isso levou a TIAA a implantar um portfólio de soluções que inclui o CyberArk Conjur Secrets Manager e vários produtos adicionais: CyberArk Privileged Access Manager, CyberArk Credential Providers e CyberArk Endpoint Privilege Manager. Até o momento, o CyberArk Conjur foi implantado em dois ambientes de produção em nuvem, um sistema de recuperação de desastres e uma variedade de domínios locais adicionais. O resultado é que a CyberArk forneceu à TIAA uma visão única para auditoria e um local central para os usuários gerenciarem e monitorarem senhas.
Ailon, da CyberArk, acredita que há muito mais a ganhar além da eficiência operacional e dos benefícios de segurança. Outros retornos mais estratégicos estão em jogo, principalmente maior harmonia entre DevOps, desenvolvedores e especialistas em segurança.
“Outro benefício pode ser visto quando as equipes de segurança e as equipes de DevOps e desenvolvedores começam a conversar”, conclui. “Em organizações não maduras, há uma grande lacuna entre segurança e DevOps, enquanto as organizações mais maduras veem essas equipes se unindo.”
Patrocinado pela CyberArk.
.
