Nos dias 15 e 16 de fevereiro, realizaremos novamente nosso evento anual para clientes virtualmente, como fazemos desde 2020. O Agility 2022 é apenas um exemplo de como os bloqueios durante a pandemia da COVID-19 forçaram a mudança total das atividades comerciais e sociais para o online, impulsionando a transformação digital. No entanto, a transformação digital que simplesmente replica a funcionalidade existente não é suficiente. Para capturar os corações e mentes dos clientes, as empresas precisavam gerar inovações digitais atraentes, tanto interna quanto externamente.
Veja o caso da OXXO , uma rede de lojas de conveniência em rápido crescimento no México. Antes da pandemia, a empresa estava abrindo lojas em um ritmo alucinante – aproximadamente uma loja por dia. Quando os clientes não puderam mais entrar nas lojas devido aos bloqueios, a OXXO teve que mudar seu modelo de negócios e oferecer a mesma conveniência por meio de vitrines digitais. O aplicativo online e móvel Mi OXXO nasceu, permitindo que a OXXO migrasse para a entrega em domicílio. A crise desbloqueou uma rápida inovação digital e oportunidade: A OXXO ganhou um novo canal de vendas, aprofundando seu relacionamento com clientes existentes e conquistando novos compradores nativos digitais.
Mas qual é a chave para uma inovação digital rápida que supere a mera transformação digital? Empoderamento do desenvolvedor.
Você precisa dar aos desenvolvedores – sua arma secreta e superpoder – o que eles precisam e querem. A OXXO capacitou seus desenvolvedores a criar rapidamente uma experiência digital atraente e envolvente, fornecendo a infraestrutura e as ferramentas necessárias para desenvolver, levar ao mercado e operar uma experiência de compra on-line em escala.
Em suma, capacitar desenvolvedores leva à inovação digital.
Assim como a OXXO, empresas de todos os tamanhos e setores precisam capacitar os desenvolvedores para criar o próximo grande serviço digital, aplicativo móvel ou experiência online. Empoderamento significa confiança, autonomia e tomada de decisão distribuída. Os desenvolvedores devem ser capazes de escolher as ferramentas de seu ofício e fazer escolhas importantes de design e serviço para suas obras-primas digitais – dentro da razão e em uma estrutura racional.
Embora capacitar os desenvolvedores seja essencial para impulsionar a inovação, fazê-lo sem restrições é perigoso. Isso pode levar à proliferação de ferramentas, a uma infraestrutura incongruente, difícil de manter e proteger e, com o tempo, a uma experiência desarticulada do cliente. Dois dos principais riscos da capacitação descontrolada dos desenvolvedores são a complexidade e o custo.
Os desenvolvedores adoram ferramentas (geralmente de código aberto). Mas muitas ferramentas levam à dispersão, com três ou quatro peças de tecnologia executando a mesma tarefa. Isso torna sua arquitetura significativamente mais complexa, aumentando a sobrecarga de gerenciamento e os riscos operacionais e de segurança. A complexidade aumenta os custos diretos e indiretos, mesmo com ferramentas gratuitas de código aberto. (Lembre-se – o código aberto às vezes é gratuito como um cachorrinho .) Quanto mais ferramentas você tiver, mais tempo suas valiosas equipes de infraestrutura e plataforma deverão gastar para mantê-las. A integração de novos desenvolvedores também é mais complicada e demorada, porque eles precisam se familiarizar com a interface do usuário de cada ferramenta (incluindo suas peculiaridades), mesmo quando ela faz a mesma coisa que outra ferramenta.
A complexidade também leva a um possível tempo de inatividade: mais peças móveis com seus próprios modelos operacionais e cadeias de ferramentas aumentam as chances de as coisas quebrarem sob carga. Ter seu aplicativo fora do ar envolve risco de reputação e risco financeiro devido à perda de receita. Em vez de esperar que você resolva o problema, os usuários podem ficar insatisfeitos ou procurar outros provedores.
Para evitar essas armadilhas, você precisa permitir que os desenvolvedores sejam ágeis sem tornar seus aplicativos frágeis – para permitir que eles escrevam códigos rapidamente e levem produtos ao mercado mais rapidamente, ao mesmo tempo em que os cerca com as proteções necessárias para garantir que sua empresa não corra riscos. Nós chamamos isso de “correr com segurança com tesouras” . Como pais, podemos tentar evitar que nossos filhos corram com tesouras gritando com eles. Ou podemos reconhecer que eles vão usar tesouras e reduzir os riscos comprando tesouras com pontas rombas. Você também ganhará pontos extras se puder educá-los sobre os riscos e fazê-los seguir dicas de segurança, como segurar uma tesoura com as pontas voltadas para baixo.
Para os desenvolvedores, precisamos de uma abordagem dupla semelhante, permitindo que eles corram e, ao mesmo tempo, ensinando-os a se mover mais rápido sem quebrar as coisas ou causar riscos indevidos.
Na F5, acreditamos que há quatro proteções cruciais que você pode implementar para capacitar os desenvolvedores e, ao mesmo tempo, proteger contra complexidade, custo e riscos de segurança:
Os desenvolvedores querem programar. Eles querem fornecer novos recursos e funcionalidades. Eles não querem necessariamente gastar tempo e energia com segurança. Mas se você puder introduzir a segurança mais cedo no ciclo de vida do desenvolvimento do software, poderá torná-la amigável aos desenvolvedores (o suficiente) para que eles estejam dispostos a incluí-la em seus fluxos de trabalho. Isso é conhecido como deslocamento para a esquerda .
A mudança para a esquerda visa tornar os desenvolvedores mais responsáveis pela implementação da segurança à medida que escrevem o código – seja em avaliações de modelos de ameaças, auditorias de código, testes de penetração ou aplicação de políticas de segurança por meio de controles como um firewall de aplicativo da web (WAF). A mudança para a esquerda também visa tornar mais fácil e intuitivo para os desenvolvedores realizarem essas tarefas dentro de seus fluxos de trabalho existentes.
De acordo com uma pesquisa do SANS Institute , uma organização especializada em treinamento em segurança da informação e segurança cibernética, menos de 40% das empresas mudaram as práticas de segurança de maneira consistente com os princípios do DevSecOps. Para efeito de comparação, considere organizações como a Audi . Com o F5 NGINX App Protect, a Audi capacita suas equipes de aplicativos a realizar 80% das operações de segurança necessárias nativamente em seus fluxos de trabalho na plataforma Kubernetes da empresa.
Os desenvolvedores têm uma mentalidade que prioriza o código aberto . Fornecer proteções não funciona se você não fornecer ferramentas de código aberto que se encaixem no espírito deles e nas preferências de pilha de tecnologia. Atualmente, a maioria das empresas usa código aberto, com Linux, Docker, Kubernetes e milhares de outras ferramentas liderando o movimento. De acordo com o relatório The State of Enterprise Open Source da Red Hat para 2021, 90% dos líderes de TI estão usando código aberto empresarial. Dito isso, há uma vasta gama de possibilidades de código aberto hoje, com milhares de projetos para diversas tarefas. Portanto, é importante evitar a proliferação de ferramentas padronizando um conjunto selecionado de ferramentas de código aberto (levando em consideração os desejos e a orientação dos seus desenvolvedores, é claro!).
Por exemplo, o provedor francês de TV a cabo Canal opera três bancos de dados SQL de código aberto separados para seu serviço premium Canal+ . Mas quando se tratava de ingestão de dados, eles queriam um padrão. Os desenvolvedores do canal escolheram inicialmente o NGINX Open Source para lidar com as 50.000 solicitações por segundo geradas pela plataforma de streaming. À medida que o Canal+ crescia, a equipe da plataforma migrou perfeitamente para o F5 NGINX Plus para obter recursos adicionais de escala e observabilidade necessários para operar uma plataforma que recebe mais de um bilhão de cliques por ano. O Canal não precisa operar vários proxies e balanceadores de carga, mas os desenvolvedores ainda podem escolher uma ferramenta nativa de código aberto sem sacrificar os requisitos operacionais.
Mudar a segurança para a esquerda e adotar o código aberto depende de outra prática recomendada: tratar sua infraestrutura como código. Isso significa implantar código como software ou serviços que podem ser programados por APIs.
De acordo com nosso próprio relatório State of Application Strategy em 2021 , 52% das organizações adotaram práticas de Infraestrutura como Código (IaC). IaC significa que sua infraestrutura pode ser ampliada ou reduzida conforme necessário – e se estende além de apenas suas ferramentas de segurança e código aberto. Tratar toda a infraestrutura de aplicativos modernos como código transfere a responsabilidade de configuração da infraestrutura para aqueles que melhor conhecem o aplicativo: os desenvolvedores e as equipes de DevOps. Os contêineres revolucionaram a maneira como a infraestrutura pode ser implantada e permitiram que desenvolvedores e equipes de DevOps projetassem e invocassem facilmente a infraestrutura mais adequada para suas implantações de aplicativos.
É por isso que o African Bank modernizou sua plataforma bancária principal usando uma arquitetura de microsserviços e NGINX . Ao tratar a infraestrutura como código, como o banco, você pode capacitar os desenvolvedores a enviar novos recursos para produção mais rapidamente. Usando contêineres como base, o African Bank reduziu o tempo necessário para oferecer aos seus clientes um novo recurso bancário de seis meses para seis semanas.
Neste ponto você pode estar se perguntando: “Eu realmente quero capacitar meus desenvolvedores tanto assim?” Mudar a segurança para a esquerda, adotar o código aberto e implementar a infraestrutura como código, ao mesmo tempo em que permite aos desenvolvedores a liberdade de fazer tudo sem barreiras, pode levar aos riscos operacionais que discutimos. É por isso que você precisa de uma infraestrutura de autoatendimento, tanto para facilitar aos desenvolvedores a implantação da infraestrutura e dos serviços de que precisam quanto para reduzir a complexidade e, ao mesmo tempo, controlar os custos.
Nosso relatório State of Application Strategy em 2021 também revelou que 65% das organizações adotaram automação e orquestração. Mais especificamente, 68% estão adotando automação para rede e segurança. Porquê?Para que as equipes de DevOps, NetOps, SecOps e Platform Ops possam facilitar o provisionamento da infraestrutura para os desenvolvedores por meio de catálogos de autoatendimento, habilitados por contêineres que limitam as implantações aprovadas a “imagens douradas” avaliadas como seguras e eficazes para produção. Na verdade, essa combinação de “self-service” e “imagem de ouro” é parte do que tornou as nuvens públicas tão populares. Eles funcionam como portais de autoatendimento para um catálogo de tecnologias amigáveis ao desenvolvedor, permitindo que pequenas equipes criem e dimensionem aplicativos que competem com grandes empresas. Dito isso, sabemos que os provedores de nuvem nem sempre fornecem as configurações padrão mais seguras. É por isso que é tão essencial gerenciar suas próprias “imagens de ouro” e configurá-las para proteger sua infraestrutura específica.
Por exemplo, a Modern Hire resolveu esse problema automatizando implantações de WAF por meio do F5 NGINX Controller . A Modern Hire conta com o NGINX Plus como parte essencial de sua arquitetura de nuvem para segurança e processamento de tráfego. Isso os liberou para fechar um data center antigo, mas quando chegou a hora de reforçar a segurança, eles ainda não tinham uma história de automação sólida. Entre no NGINX Controller, que fornece um mecanismo de fluxo de trabalho DevOps para o NGINX App Protect WAF . Agora, a equipe de DevOps da Modern Hire pode fornecer uma interface de autoatendimento para a equipe de segurança sem comprometer o valor da automação em um ambiente de DevOps. Participe do fórum de discussão Shifting Left with F5 NGINX na Agility 2022 para saber mais com Jason McMinn, arquiteto de infraestrutura e sênior. Engenheiro DevOps na Modern Hire.
[ Editor – O NGINX Controller agora é o F5 NGINX Management Suite .]
Nos últimos dois anos, vimos clientes que agiram rapidamente para capacitar desenvolvedores colherem os frutos de sua confiança e previsão. Assim como a OXXO, muitas criaram novos canais de vendas ou capacitaram seus desenvolvedores para reestruturar completamente os aplicativos e a infraestrutura para um futuro de estruturas de implantação baseadas em serviços e nuvem distribuída. Esses clientes estão hoje em uma situação melhor e olhando para o futuro. Estamos felizes em poder ajudá-los nesse caminho e esperamos que nossa visão e os anúncios recentes de produtos os ajudem ainda mais.
Mudar para a esquerda, habilitar o código aberto, dimensionar a infraestrutura como código, criar arquiteturas de autoatendimento e construir aplicativos adaptáveis nas tecnologias de infraestrutura mais modernas e resilientes, como o Kubernetes, impulsionam a inovação digital. Junto com meus colegas do F5, estarei falando durante a palestra principal no Dia 1 do Agility 2022 ( 9h00–10h30). PST, 15 de fevereiro) sobre como simplificar, proteger e inovar na era digital.
Você pode se registrar aqui para o Agility, um evento virtual de dois dias que inclui palestras, painéis de discussão, sessões de debate e demonstrações. E é totalmente gratuito! Estamos ansiosos para conhecê-lo virtualmente na Agility e fazer uma parceria com você para capacitar seus desenvolvedores e inovar no próximo ano e nos próximos.
"Esta postagem do blog pode fazer referência a produtos que não estão mais disponíveis e/ou não têm mais suporte. Para obter as informações mais atualizadas sobre os produtos e soluções F5 NGINX disponíveis, explore nossa família de produtos NGINX . O NGINX agora faz parte do F5. Todos os links anteriores do NGINX.com redirecionarão para conteúdo semelhante do NGINX no F5.com."