A segurança dos aplicativos está mudando para a esquerda. Como resultado, as equipes de DevOps são cada vez mais responsáveis pela segurança. Embora a experiência do DevOps com processos de ciclo de vida de desenvolvimento permita que eles introduzam efetivamente requisitos de segurança no início do ciclo de vida do software, essas equipes podem não ter os recursos para antecipar ameaças ou amplitude de conhecimento suficiente para implementar as diversas soluções e políticas de segurança necessárias para proteger aplicativos modernos.
Os serviços de segurança em nuvem nativa fornecem aos desenvolvedores de DevOps e unidades de negócios opções específicas de plataforma que funcionam bem para muitos requisitos de aplicativos. No entanto, à medida que as organizações adotam cada vez mais soluções multinuvem, os custos desses serviços nativos começam a superar os benefícios. Enquanto alguns serviços de segurança eram suficientes em uma única plataforma de nuvem, muitos serviços de segurança são necessários para fornecer a mesma proteção em duas ou mais plataformas de nuvem. Cada plataforma tem seus próprios requisitos de gerenciamento de identidade, políticas de segurança, APIs e procedimentos gerenciais, reduzindo a eficiência geral. Aumentar a eficiência operacional e a segurança é uma prioridade máxima para iniciativas de transformação digital empresarial e objetivos de liderança empresarial.
A complexidade de implementação e gerenciamento associada aos serviços de segurança nativos é a primeira fonte significativa de ineficiência operacional. As dificuldades associadas ao gerenciamento de todos os componentes de vários serviços de segurança nativos podem ter sérias consequências negativas para uma empresa. Falhas de segurança em configurações incorretas foram exploradas em 66% dos ataques (seja por meio de invasores explorando uma falha no firewall do aplicativo da web para acessar credenciais de conta ou por invasores tirando vantagem de um recurso mal configurado). Os engenheiros de DevOps têm a tarefa de identificar o tempo de colocação no mercado mais rápido possível. Reduzir a sobrecarga associada à manutenção e compreensão de políticas de segurança em vários provedores de nuvem pode permitir que as equipes de DevOps concentrem melhor sua atenção e recursos nesse objetivo.
Mudar para um fornecedor terceirizado que possa implementar uma política de segurança consistente em todos os aplicativos em um ambiente multinuvem pode reduzir significativamente a quantidade de sobrecarga de implementação de segurança que recai sobre as equipes de DevOps. Usar esse tipo de serviço pode reduzir a frequência com que configurações incorretas de segurança são enviadas para ambientes de produção. Ele simplifica a integração de políticas e configurações em pipelines de CI/CD ao fornecer às equipes de DevOps um conjunto de ferramentas de automação que podem ser usadas para padronização, o que, por sua vez, permite que serviços de segurança sejam integrados às cadeias de ferramentas de automação empresarial existentes.
A baixa visibilidade da segurança da infraestrutura de nuvem é outra fonte de redução da eficiência operacional que acompanha o uso de serviços de segurança nativos. Embora as organizações se beneficiem de uma implantação mais rápida ao usar serviços nativos, 36% dos entrevistados admitem que esses serviços nativos não fornecem visibilidade adequada à infraestrutura de segurança na nuvem. Embora as equipes de DevOps assumam cada vez mais a implantação e o gerenciamento da segurança de aplicativos, a supervisão e os relatórios de segurança empresarial ainda são responsabilidades do SecOps. Serviços de segurança em nuvem distribuídos e nativos significam que os relatórios e análises de segurança também serão distribuídos e específicos da nuvem por padrão. A natureza distribuída da análise ofusca o cenário de segurança do sistema como um todo. Como resultado, as equipes de SecOps podem apenas ser capazes de dar recomendações isoladas e específicas do provedor. O uso de serviços de segurança comuns implementados por um fornecedor de segurança multinuvem padronizado garante que as mesmas políticas de segurança sejam compartilhadas em todos os aplicativos. Isso permite que o SecOps faça recomendações com base em análises de segurança compartilhadas de uma forma que beneficia todo o sistema.
A necessidade de adotar uma estratégia de segurança multinuvem que garanta a conformidade entre diferentes provedores de nuvem é outra fonte de ineficiência operacional com serviços de segurança nativos. As equipes de DevOps precisam cumprir requisitos de segurança internos e do setor. Historicamente, equipes centralizadas de InfoSec ajudam a estabelecer e auditar controles de segurança em todos os aplicativos, especialmente em organizações como serviços de saúde e financeiros que trabalham com informações pessoais confidenciais ou protegidas. Com a mudança para a esquerda na segurança de aplicativos , o DevOps agora é tão responsável por manter o alinhamento com os requisitos de segurança empresarial quanto o SecOps. É difícil manter os requisitos de segurança empresarial quando as políticas de segurança nativas são exclusivas de um provedor de nuvem específico, seja ele AWS, Azure ou Google Cloud. As auditorias também se tornam menos eficientes. A implantação de políticas de segurança comuns em várias nuvens reduz o tempo gasto na auditoria de configurações de segurança. A inclusão de soluções de visibilidade pode permitir que uma organização crie um balcão único que reduza a complexidade dos testes de conformidade e melhore a colaboração entre equipes.
Mudanças nas convenções de desenvolvimento de aplicativos aumentaram as responsabilidades relacionadas à segurança que estão sob a alçada do DevOps. Como resultado, é mais preciso se referir a essas equipes como DevSecOps e reconhecer isso como parte do modelo operacional de segurança SecOps. O uso contínuo de políticas de segurança nativas e específicas do provedor adiciona uma sobrecarga gerencial significativa, eliminando grande parte dos benefícios do modelo DevOps. A padronização em torno de uma solução de segurança empresarial multinuvem aumenta a eficiência operacional e cria oportunidades de conexão com novos parceiros estratégicos de segurança, reduzindo o potencial de perda de eficiência operacional ao migrar para um ambiente multinuvem.