Come garantire la sicurezza di ambienti DevOps e IT agili lo spiega CyberArk

Un report realizzato da Kuppinger Cole evidenzia l’importanza per le aziende di garantire la sicurezza di ambienti DevOps e degli ambienti IT agili. I commenti e i suggerimenti di CyberArk

 

CyberArk, società quotata a livello internazionale al top tra quelle che sviluppano soluzioni per la sicurezza degli endpoint privilegiati on premise o nel Cloud, ha segnalato come KuppingerCole abbia reso pubblico il report dal titolo auto esplicativo di “Security for DevOps and Agile IT: Preventing attacks in highly dynamic environments.”
Realizzato da Martin Kuppinger e pubblicato in ottobre, il report indirizza molti dei principali item che più interessano il personale coinvolto nella sicurezza, i responsabili della sicurezza dei sistemi e i team di sviluppo, tutte figure professionali che si trovano a fronteggiare l’esigenza sempre più stringente di migliorare la sicurezza di ambienti DevOps.

Superfici di attacco sempre più ampie

Il problema, osserva CyberArk, è che si ha a che fare con superfici da proteggere da attacchi che sono sempre più ampie.
In pratica, le aziende stanno scoprendo che in coincidenza dell’adozione di DevOps e di un IT agile, rendere questi ambienti sicuri si sta rilevando sempre più di importanza primaria.
Come sempre una medaglia ha il suo rovescio, Se in pochi anni il concetto DevOps ha profondamente modificato il modo di operare dell’IT e tra questi del personale dedito alla security, ciò si è abbinato all’uso crescente di micro servizi, nonché ad un crescente numero di strumenti DevOps utilizzati nelle pipeline CI/CD.
Il risultato, osserva e mette in guardia CyberArk, è una aumentata superficie di attacco rispetto a quanto caratterizzava più tradizionali ambienti di sviluppo.

I driver che ampliano la superficie di attacco

Ma, andando al punto, quali sono i principali driver che maggiormente contribuiscono all’espansione delle superfici di attacco? In sostanza, osserva CyberArk, i principali si possono ridurre ai seguenti quattro:
• Sempre più “Secrets” da gestire
• La crescita dei componenti dell’IT
• Una accresciuta volatilità
• Una scala dell’ambiente IT fortemente incrementata
Il fatto che poi nelle aziende questi fattori di crescita avvengano in buona parte contemporaneamente non aiuta di certo i responsabili della security a fronteggiare adeguatamente i problemi che ne derivano.

Come fronteggiare il problema?

Facendo una sintesi che identifichi le principali esigenze che una organizzazione si trova a fronteggiare al fine di rendere sicuro un ambiente DevOps, i principali punti includono aspetti quali:
• Gestire in modo consistente tutti I tipi di “secrets”.
• Evitare isole di sicurezza o il far affidamento sulle capacità native di strumenti stand-alone.
• Focalizzarsi sulla semplicità e sulla facilità d’uso per gli sviluppatori.
• Stabilire una robusta e sicura capacità di audit.
• Integrare la security con quanto già esistente in termini di Privileged Access Security (riferito anche come privileged access management facendo ricorso alla terminologia dottata da KuppingerCole).

Particolare attenzione va posta sull’ultimo punto. Questo perché, osserva CyberArk, le soluzioni attualmente presenti in ambito Enterprise difficilmente risultano adeguate al fine di garantire una sicurezza ad ambienti IT agili e DevOps in quanto non soddisfano i requisiti necessari.
“Quello che serve sono soluzioni di sicurezza specializzate che garantiscano un ambiente DevOps, oltre a soluzioni già operative per la sicurezza degli accessi privilegiati. Purtuttavia, piuttosto che due sistemi separati, è necessario un adeguato livello di integrazione”, suggerisce CyberArk.

Un piano di azione per rendere sicuri i “Secrets”

Il report, nota CyberArk, non si limita ad evidenziare i problemi ma, ancor più importante, delinea un piano di azione che permetta di garantire la sicurezza dei “secrets” e delle credenziali in ambienti DevOps e IT agili. I punti più importanti sono:

• Rendere più semplice per gli sviluppatori il rendere sicure applicazioni e codici.
• Isolare le API, in modo che i servizi di sicurezza possano aggiornarle o cambiare senza che si renda necessario apportare cambiamento al codice.
• Fornire ed integrare la possibilità di visionare e di gestire i secrets e i privilegi.
• Catturare e monitorare gli eventi tramite l’integrazione con SIEM o altri sistemi di sicurezza.

Maggiori informazioni sulle soluzioni CyberArk, incluso “CyberArk Conjur for securing DevOps environments” si trovano a cyberark.com/conjur.
CyberArk Conjur, è peraltro disponibile anche in foma open source a conjur.org. La versione aperta permette agli sviluppatori di accumulare rapidamente esperienza nella gestione dei secrets.