BLOG

Shift (Web App) Segurança Esquerda

Miniatura de Lori MacVittie
Lori MacVittie
Publicado em 06 de julho de 2015

O conceito de "mudança para a esquerda" para questões de TI apropriadas está crescendo. A ideia é basicamente migrar mais para as funções do pipeline de entrega de desenvolvimento de aplicativos que, quando aplicadas mais cedo, podem resultar em maior estabilidade e segurança do código resultante. A segurança é uma dessas funções que pode gerar benefícios significativos em termos de redução de conflitos e erros que surgem na produção e custam tempo e dinheiro que a empresa preferiria não gastar.

shift-segurança-esquerda

Na maioria das vezes, as funções de segurança propostas como prontas para "mudar para a esquerda" são aquelas relacionadas diretamente ao código: varredura de vulnerabilidades, aplicação de patches automatizada, detecção de intrusão e serviços semelhantes. O que raramente é mencionado (na verdade, provavelmente nunca até este post) são os benefícios de mudar as funções do firewall de aplicativo da web para a esquerda.

Há uma boa lógica por trás da mudança desse tipo de funcionalidade para a esquerda, ou seja, a afinidade de aplicativo Serviços altamente afins a aplicativos, como segurança de aplicativos web, balanceamento de carga e otimização, são específicos de um aplicativo. Não um protocolo como HTTP, mas para o aplicativo em si. A segurança e a otimização de aplicativos, em particular, geralmente contêm configurações que exigem a compreensão de URIs específicos (como chamadas de API RESTful), os tipos de dados que estão sendo trocados (e seus formatos), bem como a identificação de usuários e dispositivos que podem ser específicos do aplicativo ou de partes específicas do aplicativo.

Isso significa que uma política de segurança de aplicativo web é baseada basicamente no aplicativo, o que significa que a política é válida somente para aquele aplicativo . A correspondência de dados e URIs pode (e realmente) introduzir o potencial para erros, o que significa que o aplicativo pode falhar. Quando esse erro aparece pela primeira vez na produção, cabeças rolam. Tempo é gasto, dinheiro é desperdiçado e o orçamento de cafeína para a semana dispara, deixando todo mundo bebendo água colorida pelo resto do mês. Não é nada bom.

Mudar a configuração e o teste dessas políticas afins de aplicativo para a esquerda, para o teste, pode ser um benefício significativo em termos de eliminação da maioria (espero que todos, exceto Heisenberg) dos conflitos ou erros e garantir uma implementação mais suave, rápida e menos complicada por meio do pipeline de produção.

A crescente disponibilidade de software e edições virtuais de serviços tradicionais de firewall de aplicativos da Web significa a capacidade de provisionar esses serviços em um número maior de ambientes e garantir níveis mais altos de acesso restantes no pipeline de implantação. Mudar a segurança do aplicativo web para a esquerda também significa a capacidade de aplicar a varredura de vulnerabilidades ao serviço de segurança do aplicativo web enquanto ele protege o aplicativo em teste, dando às operações de segurança e ao desenvolvimento uma melhor compreensão da interação entre os dois, bem como a oportunidade de ajustar as políticas para garantir o comportamento adequado (esperado e desejado). Políticas, especialmente aquelas que podem ser encapsuladas em formato de modelo , são fáceis de mover entre ambientes e podem ser tratadas como código, armazenadas em repositórios e versionadas para uso futuro.

A disponibilidade de APIs e modelos, juntamente com a virtualização de serviços de aplicativos tradicionalmente hospedados em rede, possibilita que as organizações mudem a segurança para a esquerda e obtenham ganhos reais na otimização do processo de pipeline de produção.