BLOG | NGINX

Liberte o DevOps com segurança com o NGINX Modern Application Security

NGINX-Parte-de-F5-horiz-preto-tipo-RGB
Miniatura F5 NGINX
F5 NGINX
Publicado em 12 de agosto de 2021

Atualmente, o conceito de “DevSecOps” é familiar para quase todos que trabalham no desenvolvimento de software moderno, com sua promessa de fortalecer fundamentalmente a segurança dos aplicativos, bem como aliviar o atrito entre as equipes de DevOps e segurança .

Em um modelo DevSecOps, a segurança é transferida para a esquerda e incorporada diretamente ao processo de desenvolvimento e implantação do DevOps. Em particular, a segurança é incorporada em cada fase do pipeline de integração contínua/implantação contínua (CI/CD) para ajudar a identificar falhas de segurança mais cedo. Diferentemente dos modelos de segurança tradicionais, o DevSecOps coloca a segurança no centro do desenvolvimento, ajudando a identificar problemas mais próximos de seu ponto de origem, reduzir revisões dispendiosas (e demoradas) e evitar que vulnerabilidades cheguem à produção.

Mas, apesar do impulso em direção ao DevSecOps, as equipes de segurança ainda parecem estar atrasadas em relação ao ritmo do DevOps. De acordo com o relatório DevSecOps Insights 2020 da snyk, 48% dos desenvolvedores ainda acham que a segurança é uma grande limitação à sua capacidade de entregar software rapidamente.

Por que a segurança dos aplicativos ainda é muito lenta?

Embora a maioria das empresas reconheça onde sua postura de segurança precisa estar, intenção e realidade são duas coisas muito diferentes. De acordo com o Relatório do Estado do DevSecOps de 2020 da Contrast Security, mais de 99% das organizações são forçadas a admitir que seu aplicativo médio em produção tem pelo menos 4 vulnerabilidades, enquanto quase 80% relatam mais de 20 vulnerabilidades em aplicativos em desenvolvimento. Portanto, embora 70% das equipes de segurança pesquisadas na Pesquisa Global DevSecOps de 2021 do GitLab digam que mudaram a segurança para a esquerda e estão colaborando com os desenvolvedores mais de perto do que nunca, está claro que ainda existem lacunas significativas de segurança.

Por meio de conversas com clientes da NGINX, descobrimos três grandes desafios que continuam a retardar ou bloquear a adoção de práticas de DevOps por equipes de segurança:

  1. Um perímetro distribuído e em constante mudança
    Ao contrário de 20 anos atrás, as equipes de segurança raramente são encarregadas de defender apenas um perímetro fácil de proteger . Em vez disso, eles devem proteger aplicativos desenvolvidos e implantados por equipes de DevOps que têm liberdade para escolher os ambientes, plataformas e ferramentas que os ajudam a iterar mais rapidamente. As práticas de DevOps são ótimas para inovação, mas são más notícias para os profissionais de segurança que precisam proteger uma variedade de serviços, endpoints e dispositivos que se comunicam entre si por meio de APIs. De fato, apenas metade dos entrevistados da pesquisa do GitLab afirmam ter processos para monitorar e proteger aplicativos criados usando estratégias de desenvolvimento modernas, incluindo microsserviços e contêineres.

  2. Incapacidade de automatizar e incorporar políticas de segurança em pipelines de CI/CD
    A transformação entre diferentes equipes não está acontecendo na mesma velocidade, e a maioria das ferramentas legadas disponíveis para equipes de segurança não foram projetadas para um ambiente deslocado para a esquerda. Como resultado, as equipes de segurança são forçadas a adaptar e integrar ao pipeline ferramentas que não são adequadas à automação e às infraestruturas modernas. Pior ainda, essas ferramentas não têm recursos de autoatendimento, então os desenvolvedores e engenheiros de DevOps precisam esperar para prosseguir até que a segurança conclua uma auditoria manual de políticas e processos.

  3. Dificuldade em obter visibilidade centralizada e insights de segurança
    A maioria dos aplicativos corporativos não são apenas distribuídos, mas também têm áreas de propriedade distribuídas, cada uma das quais usa ferramentas diferentes. Isso torna incrivelmente difícil obter visibilidade consolidada da postura de segurança dentro da organização. Em vez de investigar a causa raiz dos problemas, as equipes de segurança muitas vezes perdem tempo tentando consolidar e correlacionar dados de diferentes lugares.

E é claro que a maioria das empresas não está superando esses obstáculos para apenas um punhado de aplicativos – elas estão fazendo malabarismos com centenas de produtos e serviços espalhados por várias equipes executando suas próprias pilhas de tecnologia, cadeias de ferramentas e processos, todos os quais exigem auditorias e verificações para garantir que as vulnerabilidades não deixem a porta aberta para ataques.

Equipes empresariais estão se voltando para operações de plataforma

Então, o que você pode fazer para ajudar suas equipes de segurança de aplicativos a se tornarem mais ágeis e, ao mesmo tempo, capacitar os desenvolvedores a continuarem avançando com rapidez, mas com segurança?

A dura verdade é que se você não encontrar uma maneira de enfrentar os desafios discutidos acima, não poderá desenvolver suas práticas e processos. Iterar mais rápido pode parecer a vitória que todos precisam, mas a única maneira de continuar a escalar o DevOps até seu potencial máximo é tornar a segurança o mais fácil e adaptável possível em todo o ciclo de vida do desenvolvimento de software.

Cada vez mais, vemos organizações adotando uma abordagem que – seguindo o exemplo da Gartner – chamamos de Platform Ops . O conceito central é fornecer recursos de DevOps por meio de uma plataforma criada para atender aos requisitos das equipes internas da empresa. Usar plataformas internas não apenas reduz a probabilidade de perda de tempo em tarefas redundantes, mas também ajuda diversas equipes de produtos a colaborar de forma contínua e eficaz, sem perder tempo.

Em um modelo de operações de plataforma, as equipes de segurança fornecem políticas de autoatendimento e consumíveis para as equipes de desenvolvimento. Além disso, as ferramentas de segurança são totalmente integradas ao processo de entrega do aplicativo. Dessa forma, os desenvolvedores podem implantar mais rapidamente e ainda seguir as melhores práticas, governança e requisitos de acesso definidos por especialistas em segurança.

A grande vitória para as equipes de segurança de aplicativos é que o Platform Ops cria um ambiente em que os desenvolvedores não veem mais a segurança como um obstáculo que os deixa lentos, mas sim como uma parte integrada dos processos e ferramentas que eles já usam. Isso motiva as equipes de entrega de aplicativos a adotar padrões que garantam melhor segurança para a empresa como um todo.

Como o NGINX ajuda

Na NGINX, reconhecemos a importância de fornecer ferramentas, como um firewall de aplicativo da web (WAF), que pode facilmente mudar para a esquerda para fornecer segurança em qualquer lugar nos processos de desenvolvimento e se integrar totalmente aos pipelines de CI/CD. Também é essencial ter soluções leves que não sobrecarreguem a CPU nem diminuam o desempenho.

Também vimos que as equipes de desenvolvimento e DevOps ficam muito mais felizes quando a segurança é uma proteção e não um portão . Quando a segurança fornece controles e políticas fortes e consistentes em uma plataforma compartilhada e de autoatendimento, fica mais fácil para as equipes de desenvolvimento e segurança se alinharem às diretrizes com o mínimo de interação e interrupção.

Diagrama do ecossistema Kubernetes com NGINX Ingress Controller e NGINX App Protect WAF
Diagrama do ecossistema Kubernetes com NGINX Ingress Controller e NGINX App Protect WAF

Veja como a plataforma de aplicativos NGINX oferece exatamente isso:

  • O NGINX App Protect WAF é um WAF leve e moderno que você pode implantar em qualquer lugar onde estiver criando e gerenciando aplicativos. Desenvolvido com base na tecnologia WAF líder de mercado da F5, o App Protect WAF protege contra as 10 principais ameaças do OWASP e outras ameaças avançadas, independentemente da arquitetura ou do ambiente de implantação, seja em nuvem, híbrido, baseado em microsserviços, em contêineres ou local. Implantado como um módulo dinâmico para o NGINX Plus , o App Protect WAF permite automatizar a configuração e as políticas de segurança para que elas possam ser provisionadas diretamente no seu pipeline de CI/CD.

  • O NGINX App Protect DoS fornece proteção adaptável e automatizada para identificar e prevenir ataques de negação de serviço (DoS) . Com o apoio de especialistas em segurança da F5, o App Protect DoS usa aprendizado de máquina adaptável e detecção de anomalias integrada para proteger seus aplicativos e microsserviços contra ataques na camada de aplicativo. Quer você precise interromper um ataque direcionado ou simplesmente evitar que uma configuração incorreta inadvertida interrompa o desempenho do aplicativo, o App Protect DoS oferece proteção zero-touch que se integra perfeitamente às arquiteturas de aplicativos modernos, ferramentas de desenvolvimento e estruturas.

  • O complemento NGINX Controller App Security<.htmla> para o Controller Application Delivery Module permite que você aumente a produtividade do desenvolvedor sem comprometer as operações e a conformidade de segurança. O Controller App Security fornece proteção confiável de aplicativos e visibilidade centralizada de ameaças na camada de aplicativos, que pode ser padronizada em aplicativos baseados em HTTP e APIs em execução em ambientes de várias nuvens. Ele também permite que as equipes de segurança forneçam diretrizes pré-aprovadas que os desenvolvedores e as equipes de DevOps consomem de forma autônoma para adicionar facilmente proteção de aplicativos aos seus aplicativos.

  • A segurança avançada para o NGINX Controller API Management Module permite segurança de API distribuída para aplicativos modernos:

    • O NGINX App Protect WAF agora pode ser colocado junto com gateways de API, fornecendo gerenciamento de tráfego de API e segurança para ambientes distribuídos. Habilitado pela arquitetura desacoplada do NGINX, onde o plano de dados (composto por gateways de API e agora NGINX App Protect WAF) não tem dependência de tempo de execução no plano de controle, o NGINX oferece o melhor desempenho e segurança da categoria para suas APIs hospedadas no local ou em nuvem pública, privada ou híbrida.
    • O complemento NGINX Controller App Security para o Módulo de Gerenciamento de API integra perfeitamente segurança forte com gateways de API NGINX implantados em qualquer lugar – bare-metal, VMs, contêineres e ambientes de nuvem. Pronto para uso, o complemento protege contra as 10 principais vulnerabilidades de segurança da API OWASP e outras, como injeção de SQL e execução remota de comando (RCE). Ele valida os tipos de arquivo permitidos e códigos de status de resposta e verifica se há JSON, XML e cookies malformados. O complemento também detecta técnicas de evasão usadas para mascarar ataques e garante a conformidade com RFCs HTTP.

Pronto para tornar a segurança fácil e sem complicações?

Comece testes gratuitos de 30 dias do NGINX Plus com o NGINX App Protect e o NGINX Controller , confira nossas ofertas na nuvem ( AWS , Google Cloud Platform , Microsoft Azure ) e inscreva-se na aula ministrada por instrutor Introdução ao NGINX App Protect .

Leia mais postagens de blog sobre F5 NGINX›

"Esta postagem do blog pode fazer referência a produtos que não estão mais disponíveis e/ou não têm mais suporte. Para obter as informações mais atualizadas sobre os produtos e soluções F5 NGINX disponíveis, explore nossa família de produtos NGINX . O NGINX agora faz parte do F5. Todos os links anteriores do NGINX.com redirecionarão para conteúdo semelhante do NGINX no F5.com."