Metodologia DevSecOps: ecco come integrare la sicurezza nel ciclo di sviluppo di applicazioni e infrastrutture - Cyber Security 360

TECNOLOGIA E SICUREZZA

Metodologia DevSecOps: ecco come integrare la sicurezza nel ciclo di sviluppo di applicazioni e infrastrutture

L’introduzione della security come elemento fondante del processo di sviluppo è alla base della logica DevSecOps. Ecco un approccio pratico nello sviluppo delle soluzioni di sicurezza

27 Nov 2020
S
Marco Schiaffino

Giornalista

L’evoluzione in ambito tecnologico e, in particolare, nel mondo della cyber security è spesso affidata a neologismi che racchiudono in sé concetti estremamente complessi: uno di questi è DevSecOps, una metodologia di sviluppo che le aziende stanno adottando per introdurre elementi di cyber security all’interno della struttura DevOps.

Ma di cosa stiamo parlando esattamente e quali sono le ricadute in termini pratici della filosofia DevSecOps?

Procedure integrate nella fase di sviluppo

Il termine DevOps è stato ormai assimilato dal mondo dell’Information Technology e viene comunemente inteso come una modalità orientata alla comunicazione, collaborazione e integrazione tra sviluppatori e addetti alle operation.

Con l’aggiunta della locuzione “Sec”, si introduce nell’equazione l’elemento della sicurezza. “DevSecOps prevede l’integrazione delle best practice e i controlli di sicurezza fin dall’inizio dello sviluppo del codice” spiega Marco Buratto, Innovation and DevOps Manager di LumIT. “Il modello, però, richiede come prima cosa un approccio a livello culturale”.

La prospettiva indicata dall’esperto di LumIT, in altre parole, sottolinea come la creazione di software debba essere affidata a professionisti che abbiano una visione ispirata alla security allargata sia alle necessità legate al deploy dei servizi, sia alle caratteristiche delle reti e delle infrastrutture.

Una visione che si inserisce nella particolare prospettiva da cui Buratto guarda al modello DevSecOps. “La mia attività in LumIT si concentra nello sviluppo della nostra piattaforma di automatizzazione e orchestrazione” spiega Buratto. “Nella nostra ottica, DevSecOps è un modello che tutte le aziende dovrebbero adottare da subito”.

Un modello interno che viene proposto come sistema

I primi ad adottare il modello, in ogni caso, sono gli stessi sviluppatori di LumIT. L’obiettivo, però, è quello di abilitare anche chi utilizza la loro piattaforma ad affidarsi a DevSecOps nello sviluppo dei loro servizi. “L’infrastruttura su cui stiamo lavorando è dedicata alla parte di servizi on premise delle aziende a livello enterprise” specifica Buratto. “Un ambito in cui è indispensabile avere un approccio rigorosamente orientato alla security”.

Il settore di riferimento è rappresentato da quella parte delle infrastrutture che le aziende non intendono trasferire su cloud e che, di conseguenza, richiedono l’implementazione di strumenti di automazione che permettano loro di fare quel “cambio di passo” richiesto oggi dal mercato. “Molte realtà enterprise stanno migrando verso il cloud, ma si tratta di un processo che avanza per gradi” spiega Lorenzo Pellegrin, Senior SecDevOps di LumIT. “La piattaforma che stiamo sviluppando permette, attraverso l’automazione, di rendere veloce e sicura quella parte che viene mantenuta on premise”.

In questo ambito, di conseguenza, le aziende si troveranno a sviluppare in autonomia il codice dei servizi all’interno di un quadro che è già orientato a una logica basata su DevSecOps.

Rivoluzionare l’esistente in un’ottica di sicurezza

I vantaggi di questo approccio, spiegano gli esperti di LumIT, sono notevoli. Da un punto di vista economico, infatti, il processo consente di avere a disposizione un’infrastruttura con le caratteristiche di velocità e versatilità simili a quelle di una ambiente cloud, implementandolo però sui sistemi esistenti.

La piattaforma di automazione, in ottica dell’adozione del modello DevSecOps, ha un doppio ruolo. In primo luogo, rappresenta un fattore abilitante per il passaggio alla nuova filosofia. “I sistemi di gestione tradizionali hanno tempi estremamente lunghi e non consentono di utilizzare processi come quelli di DevSecOps” conferma Pellegrin. “Grazie all’automazione i dipartimenti delle aziende possono risparmiare tempo e articolare in maniera più completa le procedure di sviluppo”.

Un ulteriore vantaggio è rappresentato dalla possibilità di utilizzare modelli (template) che consentono di definire le impostazioni di sicurezza sulla base delle caratteristiche della rete e duplicarli (e adattarli) per ogni servizio e infrastruttura che viene implementata.

Un “work in progress” su piattaforma aperta

L’influenza dell’approccio DevSecOps nello sviluppo e funzionamento della loro piattaforma di automazione LumIT si estende però ad ambiti che sono meno strettamente connessi allo sviluppo del codice, ma che rientrano nella logica di creare un ecosistema ispirato alla logica “security by design”.

L’architettura, che per il momento consente di gestire componenti di rete ma è in fase di continua espansione attraverso lo sviluppo di nuove funzionalità, adotta la logica open source e sarà disponibile su GitHub.

Un’impostazione che conferma l’approccio “aperto” tipico della community della cyber security e che prevede l’adozione di standard aperti e soluzioni “trasparenti”.

Questo modo di operare consente un maggiore livello di trasparenza delle soluzioni e una garanzia di compatibilità con le diverse soluzioni adottate dalle aziende nelle loro infrastrutture.

La security interna alla piattaforma

Ma quali sono le ricadute pratiche dell’applicazione di una logica DevSecOps? Guardando all’architettura della piattaforma sviluppata da LumIT se ne può avere un’idea.

Il sistema interno, infatti, prevede un sistema di autenticazione basato su token che può essere gestito in maniera centralizzata secondo le policy definite a livello aziendale. “Nell’ambito dello sviluppo di codice è fondamentale che ogni utente abbia privilegi ben definiti” spiega Marco Buratto. “Ciò che è indispensabile, per esempio, è che eventuali modifiche alle appliance aziendali siano consentite solo agli utenti cui è permesso effettuarle”.

Anche la scelta di affidare la registrazione dei log tramite SYSLOG, componente che utilizza standard aperti e per i quali è garantita la massima compatibilità con i sistemi SIEM (Security Information and Event Management), è ispirata a una logica di estrema malleabilità.

Contributo editoriale sviluppato in collaborazione con LumIT

@RIPRODUZIONE RISERVATA

Articolo 1 di 3