Um efeito colateral interessante da propagação do desenvolvimento de software nativo da nuvem é o fim das fronteiras entre os papéis das equipes de InfoSec e DevOps na proteção dos dados de aplicações e usuários. Até recentemente, o DevSecOps tratava principalmente de garantir e proteger o código, as ferramentas usadas no ciclo de vida de desenvolvimento de software (SDLC – Software Development Life Cycle) e a infraestrutura das aplicações contra vulnerabilidades, vazamentos e configurações incorretas.
Hoje, os dados sensíveis não vivem mais em bancos de dados seguros e centralizados. Em vez disso, estão dispersos em instâncias fluidas e amorfas em várias plataformas de nuvem e híbridas, tornando a proteção de dados um problema de todos.
Os especialistas da Check Point Software analisaram o atual panorama do gerenciamento de postura de segurança de dados (DSPM – Data Security Posture Management) e, ao olharem para os números, concluíram que hoje o estado da segurança de dados é assustador. Em 2023, até 47% das empresas tinham pelo menos um banco de dados ou bucket de armazenamento exposto à internet.
Eles também observaram como o usuário estende suas políticas de segurança de dados e conformidade organizacional de forma a acompanhar seus dados, não importando para onde eles vão. Nesse sentido, é necessário conhecer a DSPM para ter uma abordagem inovadora para deslocar à esquerda a segurança de dados na nuvem e colocar a proteção de dados, pelo menos em parte, nas mãos dos engenheiros DevOps.
Por que e o que os DevOps precisam saber sobre DSPM
O gerenciamento de postura de segurança de dados oferece monitoramento e gerenciamento integrados e inteligentes de ameaças potenciais aos dados de uma organização. Vamos supor que o usuário tenha projetado, implementado e automatizado uma postura de segurança para suas aplicações, desde o código até a nuvem. Então, os dados estarão criptografados, disponíveis para as aplicações por meio de APIs seguras e protegidos por um firewall.
No caso de um desenvolvedor replicar alguns dados para um ambiente inferior fora do “envelope” de segurança de dados da sua organização, será preciso saber: quais dados foram copiados; determinar o quanto disso é considerado sensível; e se esse desenvolvedor deveria mesmo ter permissão para duplicá-lo. Se a resposta a alguma dessas perguntas for não ou talvez, o DSPM em seus pipelines de integração contínua e entrega contínua (CI/CD) pode ser exatamente o que o profissional precisa para gerenciar o procedimento.
DSPM versus CSPM
Segundo os especialistas, embora tanto o DSPM quanto o gerenciamento de postura de segurança na nuvem (CSPM – Cloud Security Posture Management) se refiram à segurança dos ativos de computação em nuvem, eles se relacionam a diferentes aspectos da segurança em nuvem.
O CSPM foca na proteção e segurança da infraestrutura em nuvem, enquanto o DSPM mira na proteção de dados críticos. Um não é uma alternativa ao outro. O DSPM pode complementar CSPM na postura geral de segurança de computação em nuvem e pode haver sobreposição de ferramentas.
A partir dessa análise, os especialistas da Check Point Software elencaram os sete elementos essenciais do gerenciamento de postura de segurança de dados em DevSecOps que ajudam a manter uma postura robusta para proteger informações sensíveis:
Descoberta e Catalogação de Dados
Não se pode começar a proteger dados se não se sabe onde eles estão. O primeiro passo é descobrir onde estão todos os dados estruturados e não estruturados. Por exemplo, existem bancos de dados abandonados e armazenamentos de dados ocultos espreitando em seu ambiente de múltiplas nuvens? Os dados sensíveis são usados em cenários de teste?
Classificação de Ativos de Dados
Nem todos os dados são iguais. Para priorizar efetivamente os esforços de proteção de dados sensíveis, é preciso entender claramente os tipos de dados que a organização possui e sua sensibilidade. Classificar os dados de acordo com a sensibilidade também envolve catalogá-los como tal, com atenção especial para registros de informações pessoalmente identificáveis (PII), dados financeiros, propriedade intelectual e o assunto da propriedade dos dados.
Mapeamento do Fluxo de Dados
Os dados não são estáticos, especialmente no mundo de hoje, centrado no desenvolvedor e de ritmo acelerado. Para obter insights acionáveis sobre possíveis vulnerabilidades no “envelope” de proteção de dados, é necessário mapear o fluxo de dados sensíveis entre usuários, aplicações, armazenamentos de dados e serviços. O mapeamento do fluxo de dados deve, idealmente, abranger todo o ciclo de vida dos dados, desde a criação, passando pela transmissão, armazenamento, processamento e até a disposição.
Avaliação de Riscos de Dados
Dados de uso de aplicações anonimizadas são menos sensíveis que dados financeiros, portanto, tratar ambos os tipos de forma igual é desnecessário. Com total visibilidade de onde os dados sensíveis residem, para onde fluem e como são classificados, pode-se medir as possíveis implicações de uma violação de dados e seu nível de risco.
Implementação de Controles de Segurança
Os controles de segurança servem como uma ferramenta para alinhar o DSPM com as políticas de segurança organizacional e as melhores práticas do setor. Nesta etapa, e com base nas descobertas dos passos anteriores, é possível configurar as políticas e ferramentas necessárias para otimizar e automatizar a aplicação dos controles, como criptografia, prevenção de perda de dados (DLP), escaneamento de vulnerabilidades e outras medidas de proteção de dados.
Monitoramento e Auditoria
O DSPM inclui o monitoramento contínuo dos fluxos de dados e dos armazenamentos de dados em busca de possíveis anomalias, ameaças e violações de políticas para enfrentar esse desafio. O monitoramento também é um requisito para regulamentações de proteção de dados, assim como auditorias e logs, todos os quais requerem ferramentas adequadas de proteção de dados que sejam igualmente acessíveis às equipes de InfoSec e DevOps.
Resposta a Incidentes e Remediação
Embora o DSPM seja uma abordagem preventiva, também inclui o planejamento e a implementação de processos para lidar com os riscos identificados e conduzir a remediação. Com um DSPM eficiente, as ameaças e os riscos são analisados e priorizados, e as equipes de DevOps são capacitadas com um fluxo de trabalho contínuo que lhes permite colaborar melhor com as equipes de InfoSec para resolver problemas sem impactar os fluxos de desenvolvimento.
Ao integrar as capacidades do DSPM aos pipelines de CI/CD, pode-se garantir que, à medida que as aplicações mudam continuamente, o nível de visibilidade que as equipes de desenvolvimento têm sobre os dados permaneça o mesmo. Portanto, é muito mais fácil incorporar a segurança de dados em seus produtos desde o primeiro dia sem comprometer a inovação pela privacidade dos dados.
A Check Point Software aplicou esse cuidado à solução Check Point CloudGuard CNAPP que colabora com os principais provedores de DSPM para priorizar os riscos relacionados aos dados sensíveis. Em um ambiente que abriga múltiplos armazenamentos sensíveis, o CloudGuard CNAPP auxilia as equipes de segurança na priorização dos riscos de dados que demandam sua atenção. Além disso, como parte do contexto de risco abrangente, o produto classifica os ativos vulneráveis e fornece recomendações para remediação que podem ser comunicadas aos desenvolvedores e às equipes de DevOps.