L’87% dei responsabili delle decisioni IT1 ha dichiarato che le proprie organizzazioni stanno implementando DevOps, tuttavia raggiungere l’eccellenza DevSecOps non è un compito semplice, soprattutto perché identità delle macchine e secret continuano ad accumularsi nelle pipeline di sviluppo e nei portafogli applicativi. Sebbene non esista uno standard specifico per valutare la maturità di DevSecOps, la maggior parte dei team concorda sul fatto che velocità e sicurezza siano parametri critici, ed entrambe fondamentali per il successo di DevSecOps.
Mentre le organizzazioni continuano a migrare al cloud e a far evolvere le loro architetture verso soluzioni ibride, ecco nove motivi per cui gli sviluppatori hanno bisogno di un approccio semplificato alla gestione dei secret per continuare a operare velocemente, offrendo ai team di sicurezza un modo più semplice per applicare le policy.
- Le organizzazioni DevOps “d’élite”, ovvero i team più performanti, effettuano abitualmente implementazioni su richiesta ed eseguono più deployment al giorno. Ad esempio, gli ingegneri di Amazon riferiscono di distribuire codice in media ogni 11,7 secondi.
- Rispetto ai team con prestazioni inferiori, i team DevOps d’élite hanno una quantità di distribuzioni di codice 973 volte superiore e un tempo di attesa dal commit al deploy 6570 volte più ridotto. In poche parole, si concentrano sulla velocità.
- L’automazione della pipeline CI/CD consente ai team DevOps di creare e distribuire applicazioni a velocità e su scala senza precedenti. Inoltre, crea nuove identità macchina e secret applicativi – credenziali, chiavi SSH, certificati, chiavi API – in quantità massicce. Oggi le identità delle macchine superano quelle umane con un rapporto 45:1.
- Nella metà delle organizzazioni, il compito di gestire e proteggere i secret delle applicazioni è affidato agli sviluppatori, che spesso privilegiano velocità e collaborazione rispetto a pratiche di sicurezza adeguate, poiché costretti a lavorare sotto pressione e in tempi ristretti.
- Infatti, il 36% degli sviluppatori afferma che il rispetto delle scadenze è il motivo principale per cui il loro codice presenta ancora delle vulnerabilità. Tuttavia, il debito di cybersicurezza sotto forma di secret non protetti nel codice può aumentare rapidamente a ogni rilascio.
- I team di sicurezza devono trovare un equilibrio estremamente difficile per consentire velocità di sviluppo e allo stesso tempo applicare in modo coerente le policy di cybersecurity fondamentali, ad esempio il minimo privilegio, in tutta l’organizzazione: l’80% ammette che gli sviluppatori hanno più privilegi di quelli necessari.
- Molte organizzazioni si affidano alle funzionalità di gestione native dei secret dei propri strumenti cloud e DevOps per semplificare sviluppo e operazioni. Ma quando i secret vengono archiviati e gestiti in modo diverso tra i vari team e progetti – come sostiene l’87% delle organizzazioni – la “dispersione dei secret” può causare conflitti con gli obiettivi centralizzati di sicurezza, creare opportunità per i potenziali attaccanti informatici e avere un pericoloso effetto a catena lungo la supply chain software.
- Il 71% delle organizzazioni ha subito un attacco alla supply chain software che ha comportato la perdita di dati o la compromissione di risorse negli ultimi 12 mesi.
- Procedere allo shift left cercando un modo più sicuro e coerente per accedere ai segreti, non solo migliora la postura di sicurezza complessiva, ma consente anche di raggiungere nuovi livelli di efficienza. La semplificazione e l’automazione dei processi di gestione dei secret, come l’onboarding delle applicazioni e la rotazione dei secret, possono accelerare gli sforzi di migrazione al cloud sbloccando lo sviluppo, mantenendo intatti i flussi di lavoro esistenti e rendendo più facile per gli sviluppatori codificare in modo sicuro fin dall’inizio. È integrando le pratiche di sicurezza in tutto il processo di sviluppo che i team DevOps più performanti hanno 1,6 volte più probabilità di raggiungere o superare gli obiettivi organizzativi.
Nel definire un programma completo di Identity Security, proteggere le identità delle macchine e i secret delle applicazioni, ovunque essi siano, è fondamentale per ridurre le vulnerabilità, minimizzare la superficie di attacco e semplificare le operazioni. Ma non può rallentare i team di sviluppo o ritardare le iniziative di automazione, visto che la velocità rimane la valuta corrente di business.
Con il giusto approccio alla gestione centralizzata dei secret, non sarà necessario scegliere tra velocità e sicurezza mentre si opera per raggiungere la maturità DevSecOps, ma si otterrà il meglio di entrambi i mondi.
di Paolo Lossa, Country Sales Director di CyberArk Italia