Quest’anno abbiamo deciso di partecipare per la prima volta a Black Hat USA, la più grande e importante conferenza di security a livello mondiale. A salire sul volo direzione Las Vegas sono stati Giulio Covassi, CEO di Kiratech e Alessandro Menti, DevSecOps Expert di Kiratech, i quali hanno potuto apprendere immediatamente come il tema della sicurezza informatica sia sempre più importante e attento alle nuove tendenze informatiche, pensiamo ad esempio alla tecnologia Container, alla metodologia DevOps e Cloud Native.
Abbiamo pensato quindi di condividere con voi alcuni dei talk più interessanti ai quali abbiamo assistito:
Keynote: Every Security Team is a Software Team Now
Dino Dai Zovi - Mobile Security Lead at Square
Lo speaker ha brevemente ripercorso, anche da un punto di vista autobiografico, l'evoluzione della security, a partire dagli albori in cui le varie attività si svolgevano su mainframe prima e su workstation "classiche" poi, passando per gli anni 2000 con la worm invasion su Internet da un punto di vista tecnico e l’inizio del movimento Agile dal punto di vista gestionale/operativo, concludendo infine parlando di DevOps. Tale cambiamento di paradigma e l'accelerazione delle tempistiche che riguardano il software development lifecycle hanno fatto sì che i team di sviluppo (da un punto di vista almeno ideale) avessero bisogno di incorporare la sicurezza fin da subito e, viceversa, che i team di security si ritrovassero a dover comprendere le esigenze di quelli di sviluppo.
Questa situazione è da sempre causa di molteplici conflitti, derivanti dalle due "filosofie" che tipicamente tali team adottano:
1) i team di sviluppo, vuoi per la pressione di sviluppare e/o per migliorare le funzionalità in tempi brevi, spesso lavorano adottando la filosofia del "basta che funzioni" oppure si affidano al classico copia e incolla di codice tratto da Internet che nella maggioranza dei casi, per semplicità, non incorpora tutte le best practice, soprattutto per quanto riguarda la sicurezza;
2) i team di sicurezza, di contro, si preoccupano fin dall'inizio di configurare i vari software e di sviluppare architetture il più possibile resistenti ai vari attacchi noti, conferendo un certo grado di confidenza relativamente alla capacità di resistere ad eventuali altri che dovessero emergere in futuro sulla base di principi di design "universali". Ciò comporta che l'IT security sia vista spesso come "il team che dice sempre di no" e che, spesso e volentieri, viene ingaggiato solo al termine del processo di sviluppo.
Dai Zovi propone quindi le seguenti soluzioni:
- i team di security dovrebbero ingaggiare quelli di sviluppo fin dall'inizio per capire come eventuali migliorie di sicurezza e/o modifiche architetturali possano impattare su quanto svolto;
- integrare strettamente sicurezza e sviluppo in un feedback loop per eliminare eventuali ostacoli che dovessero presentarsi lungo il percorso;
- agire ad alto livello promuovendo una cultura della sicurezza anziché limitarsi a imporre delle direttive "dall'alto".
Controlled Chaos: The Inevitable Marriage of DevOps & Security
Kelly Shortridge - VP of Product Strategy, Capsule8
Nicole Forsgren - Research & Strategy, Google Cloud
Tutti abbiamo sentito dire almeno una volta la frase “software is eating the world”, ovvero che la maggior parte delle aziende si sta trasformando sempre di più in “software farm”. In questo scenario, la metodologia DevOps non sempre è stata accolta con entusiasmo, soprattutto dal mondo dell’information security e per questo spesso le aziende hanno preferito resisterle basandosi sulla convinzione che essa sia utile solamente per le Enterprise in grado di scalare molto e velocemente.
Nella realtà, spiegano Kelly Shortridge e Nicole Forsgren, il mondo della security dovrebbe “sposare” la metodologia DevOps e non contrastarla, in modo da riuscire a gestire efficacemente lo stato di chaos che sta attraversando il settore relativo all’intero ciclo di vita del software. Facendo un’analisi dettagliata, infatti, DevOps e infosec hanno più di un obbiettivo in comune:
- l’ottimizzazione delle performance di rilascio del software affinchè l’intero processo possa essere generatore di valore;
- la creazione di un equilibrio tra stabilità e velocità, ovvero la chiave per il successo in un contesto dove resilienza e innovazione devono coesistere;
- la capacità di apportare modifiche durante la fase di produzione in maniera veloce, sostenibile e soprattutto sicura (Continuous Integration e Continuous Delivery)
In conclusione, le due relatrici esortano a smettere di credere che DevOps non si interessi di security e viceversa, poiché in realtà uno è il potenziamento dell’altro e non possono più essere considerati come mondi separati. L’esplosione del Cloud e dei microservizi è da considerarsi a tutti gli effetti come la rivoluzione copernicana dell’information security ed è per questo che oggi parliamo di DevSecOps.
I due interventi riassunti sopra rappresentano un vero e proprio mantra per noi di Kiratech, sostenitori e divulgatori della metodologia DevOps fin dalle sue prime apparizioni, nonché promotori maniacali del concetto di security-by-design e membri della CNCF – Cloud Native Computing Foundation.
Questa conferenza è stata l’ennesima riprova di come la strada che abbiamo intrapreso sia quella corretta, di come il mondo DevOps, Security e Cloud debbano essere considerati sempre più come un unico ecosistema e non come silos separati.
Se desideri conoscere più nel dettaglio i nostri servizi e la nostra filosofia, entra in contatto con noi!