Um efeito colateral interessante da proliferação do desenvolvimento de software nativo em nuvem é a linha tênue entre os papéis das equipes de InfoSec e DevOps na proteção de dados de aplicações e usuários.
Até recentemente, o DevSecOps era principalmente sobre proteger o código, as ferramentas usadas no ciclo de vida de desenvolvimento de software e a infraestrutura das aplicações contra vulnerabilidades, vazamentos e configurações incorretas.
Hoje, dados sensíveis não vivem mais em bancos de dados seguros e centralizados. Em vez disso, estão espalhados em instâncias fluidas e amorfas em várias plataformas de nuvem e híbridas, tornando a proteção de dados um problema de todos.
Por isso, é importante conhecer o gerenciamento de postura de segurança de dados (DSPM – Data Security Posture Management), para antecipar a segurança dos dados na nuvem e colocar a proteção deles, pelo menos em parte, nas mãos dos engenheiros DevOps.
7 itens essenciais no DevSecOps
Suponha que você tenha projetado, implementado e automatizado uma postura de segurança para suas aplicações, do código à nuvem. Os dados estão criptografados, disponíveis para aplicações via APIs seguras e protegidos por um firewall.
Embora tanto DSPM quanto o gerenciamento de postura de segurança na nuvem (CSPM – Cloud Security Posture Management) se refiram à segurança dos ativos de computação em nuvem, eles se relacionam a aspectos diferentes da segurança na nuvem. O CSPM tem o foco na proteção e segurança da infraestrutura em nuvem, enquanto o DSPM enfatiza a proteção de dados sensíveis. Um não é uma alternativa ao outro. O DSPM pode complementar o CSPM na sua postura geral de segurança na computação em nuvem e pode sobrepor-se em ferramentas.
Os elementos abaixo são componentes fundamentais para alcançar uma postura robusta de segurança de dados:
- Descoberta e catalogação de dados
- Classificação de ativos de dados
- Mapeamento de fluxo de dados
- Avaliação de riscos de dados
- Implementação de controles de segurança
- Monitoramento e auditoria
- Resposta a incidentes e remediação
Integrando capacidades de DSPM em seus pipelines CI/CD, você pode garantir que, à medida que as aplicações mudam continuamente, o nível de visibilidade que as equipes de desenvolvimento têm sobre os dados permaneça o mesmo. Portanto, é muito mais fácil incorporar a segurança de dados em seus produtos desde o início, sem trocar inovação por privacidade de dados.