Recursos/White Papers

Gestão

5 melhores práticas para proteger seus aplicativos

Considere uma plataforma de container para garantir que sua organização esteja alinhada com as melhores maneiras de manter seus aplicativos essenciais fora de perigo

Banjot Chanana, CSO/EUA

Publicada em 25 de setembro de 2018 às 08h14

Ataques no mundo cibernético continuam a aumentar e, com eles, seus problemas de segurança. Cada vez mais, aplicativos essenciais ao negócio enfrentam ameaças externas e internas. 

O problema? O modelo de ameaças mudou drasticamente.  A mais recente edição do relatório Internet Security Threat Report (ISTR), da Symantec, revela que os criminosos cibernéticos estão rapidamente adotando o cryptojacking e criando um novo fluxo de receita altamente rentável, já que o mercado de ransomware está se tornando superfaturado e superpovoado. O incentivo de alta lucratividade coloca pessoas, dispositivos e organizações em risco de ter mineradores de moedas não autorizados usando os recursos de seus sistemas. Isto motiva ainda mais os criminosos a se infiltrarem em tudo, de PCs domésticos a datacenters gigantes. 

Proteger os aplicativos passou a ser uma necessidade para a sobrevivência no mercado. Seguindo algumas boas práticas, sua organização pode implementar uma estratégia sólida de proteção, usando containers.

1. Empacote sua aplicação em um container
A melhor maneira de proteger sua aplicação é protegê-la em um container. Os recursos de segurança nativos e as configurações padrão de um container proporcionam uma postura de segurança mais forte; seu aplicativo herda instantaneamente essa postura quando estiver em um container.

Você pode pensar em um container como um invólucro de proteção, isolando seu aplicativo de outros containers e do sistema operacional do host; esse isolamento atenua as infecções e o uso mal-intencionado de seu software. Os containers assumem configurações padrão usando perfis de segurança seccomp em conjunto com políticas de segurança. Os controles padrão dos containers protegem o ambiente em que seu aplicativo é executado.

Os containers também são gatekeepers para o seu aplicativo. Usam controles granulares de acesso baseados em função e ambientes somente de leitura para impedir o acesso não autorizado. Os containers implementam o princípio do menor privilégio, que é uma parte crítica do modelo de segurança de confiança zero que impulsiona a segurança cibernética. A vida dentro de um container reduz drasticamente a área de superfície de ataque ao seu aplicativo.

2. Comece a implantar políticas de segurança desde o desenvolvimento
Seu aplicativo começa com o desenvolvedor, portanto, é lógico que a segurança do aplicativo também comece desde o desenvolvimento. As plataformas de container oferecem segurança ininterrupta em segundo plano, por isso a segurança está presente - não apenas na maneira de seu desenvolvedor conceber o código. 

A plataforma de container tem funções de segurança que interligam intimamente os esforços de seus desenvolvedores sem alterar seu fluxo de trabalho. Isso torna o processo de desenvolvimento e sua aplicação mais seguros, sem sacrificar a velocidade ou a eficiência.

Além disso, assinaturas criptográficas confirmam a procedência e autenticidade do recipiente para validar que ninguém alterou ou infectou o aplicativo.

3. Verifique se há vulnerabilidades
A melhor maneira de saber se seus aplicativos estão seguros é ter um processo automatizado para verificar o aplicativo a cada etapa. A plataforma Docker, por exemplo, verifica o container em busca de vulnerabilidades, comparando as versões de seus recursos de programação com informações em bancos de dados de vulnerabilidade. 

As verificações de vulnerabilidades fornecem uma profundidade adicional de visibilidade e insight sobre o status de segurança de seus aplicativos, desde o desenvolvimento até a produção. Além disso, depois que as imagens são digitalizadas e limpas, você pode promover rapidamente e automaticamente os containers válidos para o próximo estágio de desenvolvimento e, eventualmente, para a produção.

Esse processo automatizado garante a detecção de vulnerabilidades no início do processo e continuamente, à medida que surjam novas vulnerabilidades. As plataformas de containers permitem mecanismos de correção rápidos e seguros para impedir violações de segurança e atender a regulamentações sem impedir o processo de desenvolvimento.

4. Fique a par de novos padrões
Organismos de padronização, como o Instituto Nacional de Padrões e Tecnologia americano (o NIST), ajudam as organizações a enfrentar seus desafios de segurança e regulamentações do setor com diretrizes padrão que mantêm práticas sólidas de segurança. Esses padrões ajudam você a entender como detectar lacunas entre esses padrões e o status de segurança de seus aplicativos.

Uma estratégia de conteinerização ajudará a fechar essas lacunas, para que você possa passar por auditorias de segurança e evitar os perigos de multas e penalidades. É possível aplicar padrões de maneira mais eficiente, aproveitando um formato de container padrão que use todos os seus controles em seus aplicativos. Você pode reduzir os custos de aplicação de conformidade mantendo seu aplicativo em um container que atenda a uma ampla variedade de padrões de segurança reconhecidos, como o NIST 800-53 e o padrão OSCAL (Open Security Controls Assessment Language) recentemente proposto pelo NIST.

5. Inscreva-se em uma abordagem multicamada
Muitos grandes parceiros no ecossistema de containers oferecem plugins e integrações de terceiros para permitir camadas de segurança e recursos adicionais. Essas integrações de ecossistema podem se tornar parte de sua estratégia de segurança existente, permitindo que você estenda várias políticas de segurança aos aplicativos, já que as integrações ajudam você a cumprir essas políticas. Por exemplo, você pode usar uma integração especificamente para impor políticas de segurança de tempo de execução para evitar um comportamento anormal do container, fornecer firewall para reduzir os ataques aos containers ou confirmar a validade da imagem do container para garantir a conformidade com as melhores práticas da empresa. 

container



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui