Shift-left vs. Shield Right no Kubernetes

O Kubernetes é uma plataforma de orquestração de containers poderosa e amplamente adotada, o que também o torna um alvo comum para atores mal-intencionados que tentam se infiltrar em redes. A crescente importância dos problemas de segurança do Kubernetes motivou o desenvolvimento de uma abordagem de segurança abrangente que engloba todos os estágios do ciclo de vida de desenvolvimento de software (SDLC). Essa abordagem combina dois conceitos: shift-left e shield right.

A abordagem shift-left incorpora medidas de segurança rigorosas nos estágios iniciais de pré-implementação do SDLC. Por outro lado, o conceito de shield right aplica práticas de segurança após a implementação por meio de monitoramento aprimorado e mecanismos robustos de detecção de ameaças. 

Neste artigo, examinaremos como as equipes podem combinar e implementar esses dois conceitos em todo o SDLC para obter uma postura geral de segurança muito mais forte em qualquer cluster Kubernetes.  

Shift-left no Kubernetes

Na pressa de cumprir os prazos, algumas equipes adiaram a correção de falhas de segurança até depois do lançamento, infelizmente permitindo que vulnerabilidades exploráveis se proliferassem em ambientes de produção. O paradigma shift-left visa abordar essas questões de segurança de forma precoce e proativa no SDLC, economizando tempo e reduzindo a probabilidade de um ataque.

Conceitualmente, a metodologia shift-left utiliza práticas específicas e direcionadas para atingir um conjunto de objetivos de segurança importantes. O primeiro objetivo é a integração precoce. Identificar problemas de segurança do Kubernetes o mais cedo possível oferece suporte a uma abordagem de “falha rápida”, permitindo uma resolução de problemas mais simples e rápida. Isso economiza tempo a longo prazo, removendo obstáculos antes que eles se tornem gargalos críticos. A resolução antecipada acaba se tornando um grande impulsionador da eficiência de custos, já que problemas em estágio inicial geralmente exigem menos recursos e menos tempo do desenvolvedor do que aqueles detectados em estágios posteriores do SDLC. 

Principais práticas

As principais práticas em uma abordagem shift-left incluem:

• Teste de segurança de aplicações estáticas (SAST): analisa o código-fonte ou o funcionamento interno das aplicações em busca de vulnerabilidades e fraquezas para identificar e corrigir problemas de segurança antecipadamente. Ferramentas SAST automatizadas aliviam os desenvolvedores de testes SAST manuais e árduos.

• Análise de composição de software (SCA): verifica e identifica componentes e bibliotecas de código aberto em busca de vulnerabilidades conhecidas em bancos de dados CVE. 

• Verificação de infraestrutura como código (IaC): rastreia modelos e códigos de IaC em busca de erros de configuração em segurança ou violações de regras para evitar ataques à segurança e problemas de conformidade.

• Varredura de imagens do container: garante que as imagens do container estejam livres de vulnerabilidades antes da implementação. As imagens do container começam com uma imagem base que geralmente contém muitas dependências.

• Segurança da cadeia de suprimentos de software: verifica a integridade e a segurança de componentes e dependências de terceiros usados na aplicação, evitando a introdução acidental de vulnerabilidades.

Essas práticas de segurança proativas devem ser integradas ao pipeline de integração/entrega contínua (CI/CD) para identificação e prevenção automatizadas de problemas de segurança antes que eles cheguem ao ambiente de produção.

Benefícios

Com uma abordagem shift-left em relação à segurança, as organizações obtêm benefícios substanciais. Primeiro, medidas de segurança proativas reduzem custos. Uma vulnerabilidade de produção explorada com sucesso por um ator malicioso pode ser incrivelmente custosa, e uma organização perderá tempo, recursos e dinheiro para executar ações de remediação, recuperação de ataques aos dados, violações de conformidade e prejuízo à reputação empresarial. Enquanto isso, o custo comparativo da implementação de medidas de segurança shift-left para identificar e resolver vulnerabilidades durante os estágios iniciais do SDLC é pequeno. Isso por si só ressalta a profunda vantagem do paradigma shift-left.

Em segundo lugar, a segurança shift-left melhora a colaboração. A abordagem shift-left levou ao nascimento do DevSecOps, permitindo que as equipes de DevOps e segurança colaborassem estreitamente para alcançar uma melhor postura geral de segurança.

Shield right no Kubernetes

Garantir as melhores práticas de segurança na fase de pré-implementação é apenas metade do trabalho — sem dúvida, é a metade mais fácil. Depois que uma aplicação é implementada em um ambiente de produção, ela entra em uma dimensão totalmente nova, onde atores mal-intencionados podem tentar atacar a qualquer momento. 

A metodologia shield right se concentra no monitoramento em tempo real e na varredura contínua de tempos de execução e configurações de produção. Semelhante ao shift-left, ela também depende de diversas práticas essenciais para atingir objetivos importantes. O primeiro objetivo é a proteção do tempo de execução. Garantir a segurança durante o tempo de execução pode ser desafiador, especialmente à medida que os sistemas crescem em escala. Até mesmo um pequeno erro de configuração pode se propagar amplamente, levando a um ataque grave. A proteção em tempo de execução requer ferramentas que realizem automaticamente a detecção de ameaças e anomalias, ao mesmo tempo em que lidam com a resposta a incidentes (IR).

O segundo objetivo da abordagem do shield right é o monitoramento contínuo. Os ambientes do Kubernetes compreendem muitos componentes sofisticados, cada um exigindo monitoramento contínuo e em tempo real para garantir que comportamentos inesperados sejam reconhecidos e remediados imediatamente.

Principais práticas

A abordagem shield right envolve diversas práticas importantes, com cada prática normalmente vinculada a ferramentas desenvolvidas especificamente para esse fim.

• Detecção e resposta em nuvem (CDR): a nuvem é um cenário em constante evolução, com novas ameaças surgindo a cada minuto. Suas implementações do Kubernetes precisam de capacidades de detecção e resposta a ameaças na nuvem em tempo real para que você possa identificar e mitigar ameaças assim que elas ocorrerem.

• Proteção de workloads na nuvem (CWP): as workloads nativas em nuvem vêm em muitos formatos e tamanhos. A CWP garante que todas as workloads na nuvem estejam sempre protegidas durante a execução.

• Análise e monitoramento de logs: a análise e o monitoramento de logs envolvem a ingestão, o processamento e a análise contínua de logs e eventos de várias fontes para identificar anomalias à medida que elas acontecem. Grandes sistemas geram facilmente terabytes de dados de log por dia, exigindo ferramentas de log de nível empresarial que possam lidar perfeitamente com essas cargas enormes.

• Gerenciamento de postura de segurança do Kubernetes (KSPM): o KSPM é um framework abrangente criado especificamente para o Kubernetes, fornecendo insights sobre o estado de segurança dos seus clusters do Kubernetes. Ele foi projetado para implementar as melhores práticas, impor padrões de segurança e monitorar continuamente a postura de segurança de um determinado conjunto de clusters.

Benefícios

Organizações que adotam uma abordagem de segurança de proteção correta para seus ambientes Kubernetes ganham o benefício da detecção de ameaças em tempo real. Essa abordagem é centrada na ideia de que problemas de segurança na produção devem ser resolvidos prontamente. A detecção e mitigação rápida e abrangente de ameaças tornam essa abordagem atraente.

Além disso, as organizações que implementam o shield right desfrutam de visibilidade operacional. Alcançar a observabilidade ideal é um pré-requisito essencial para uma segurança robusta do Kubernetes. O shield right enfatiza o monitoramento abrangente que se estende ampla e profundamente — cada camada do ecossistema Kubernetes é monitorada minuciosamente. Essa abordagem fornece uma visão detalhada de todas as atividades, permitindo a detecção proativa de ameaças e mantendo um ambiente seguro.

Integrando o shift-left e o shield right

Manter as distinções de funções entre shift-left e shield right dentro do SDLC garante uma integração suave de ambos os paradigmas. Isso permite que cada abordagem complemente a outra sem sobreposição desnecessária e potencialmente prejudicial.

A integração de ambos os paradigmas produz uma abordagem de segurança holística. A combinação de medidas proativas (shift-left) e responsivas (shield right) garante uma estratégia de segurança abrangente. Ao integrar essas abordagens, você pode garantir que sua aplicação baseada em Kubernetes desfrute de proteção durante todo o ciclo de vida. Enfatizar a importância da segurança desde os estágios iniciais do desenvolvimento até a produção garante que as práticas recomendadas de segurança sejam implementadas em todas as fases do ciclo de vida da aplicação.

Protegendo o Kubernetes de todos os lados com o CrowdStrike Falcon® Cloud Security

Embora os ambientes do Kubernetes sejam um alvo principal para atores mal-intencionados, as metodologias shift-left e shield right funcionam bem juntas para estabelecer uma solução de segurança confiável e abrangente. Combinar ambas as abordagens pode transformar seu ambiente do Kubernetes em uma fortaleza bem protegida. 

No entanto, misturar shift-left e shield right geralmente requer diversas ferramentas que podem não funcionar bem juntas. Adotar uma abordagem fragmentada sem criar redundâncias desnecessárias ou lacunas perigosas é um desafio. O CrowdStrike Falcon® Cloud Security combina os princípios do shift-left e do shield right em uma plataforma única e unificada. Ele se integra diretamente aos seus pipelines de CI/CD para abordar vulnerabilidades em estágio inicial e, ao mesmo tempo, fornecer monitoramento contínuo e detecção e resposta a ameaças em tempo real no seu ambiente de produção.

Para saber mais sobre o Falcon® Cloud Security, experimente uma demonstração interativa ou entre em contato com nossa equipe de especialistas em segurança hoje mesmo.