Arquitetura de segurança de desenvolvimento

  • Artigo

Este artigo descreve as etapas para ajudar você a alcançar um estado final ideal para a segurança de desenvolvimento na sua organização.

Sua arquitetura de segurança de desenvolvimento deve integrar estes componentes principais:

  • Melhores práticas de segurança
  • Inovações em cultura, ferramentas, processos e tecnologia de DevOps
  • IaC (infraestrutura como código) para garantir a consistência da implantação

Alinhe as melhores práticas e as tecnologias de segurança com processos e fluxos de trabalho que operacionalizam a arquitetura de DevOps. Maximize a automação das suas ferramentas de análise de segurança, os processos de modelagem de ameaças, o gerenciamento da postura de segurança e outras técnicas de segurança, com a integração deles aos processos de CI/CD. Estabeleça funções e responsabilidades claras para os elementos de segurança.

Consistência de implantação de IaC

Automatizar tarefas usando a IaC (infraestrutura como código) ajuda você a garantir a execução consistente e correta delas e atender às metas de eficiência e de segurança da sua organização. A IaC permite implantações de infraestrutura repetíveis e configurações de design ambiental para que você possa gerenciar, controlar ou dar suporte consistentemente a várias cargas de trabalho. Trabalhe com os desenvolvedores de IaC para garantir que a segurança seja integrada a toda a automação e que os processos de arquitetura e desenvolvimento de IaC sigam as melhores práticas de segurança.

As zonas de destino do Azure contêm um código pré-existente e facilitam as coisas para as equipes de TI e de segurança da sua organização. As zonas de destino do Azure fornecem um método repetível e previsível para aplicar as implementações de zona de destino em modelo com as considerações sobre área de design para segurança, gerenciamento, governança e automação de plataforma/DevOps.

Inclua ferramentas de segurança na implementação mais ampla da arquitetura da zona de destino do Azure que envolva:

  • Um estado final da arquitetura de destino para a maioria das organizações
  • Um ambiente maduro e escalonado
  • Uma ampla gama de melhores práticas da Microsoft para design de ambiente do Azure
  • Uma base forte que permita que as organizações estabeleçam processos de gerenciamento, governança e segurança continuamente aprimorados

Processo integrado para desenvolvimento da segurança

A segurança de código na nuvem precisa se integrar aos processos existentes para que você a operacionalize e a mantenha com sucesso ao longo do tempo. O diagrama a seguir mostra um exemplo de método de integração de práticas de desenvolvimento e operações seguras ao processo de inovação.

Diagrama de um processo de DevSecOps de alta segurança.

O processo de exemplo mostrado nesse diagrama é adequado para funções comercialmente críticas que exigem o mais alto nível de rigor de segurança (por exemplo, APIs e aplicativos que processam transações financeiras ou informações comercialmente críticas).

Considere o desenvolvimento de versões mais simples e simplificadas desse processo para diferentes casos de uso, conforme demonstrado no seguinte diagrama:

Diagrama do processo simplificado de segurança do DevSecOps.

Identifique as etapas envolvidas nos fluxos de trabalho de desenvolvimento da sua organização, as pessoas e as tecnologias necessárias para progredir da ideia para a produção e as operações em andamento. Identifique também o processo para resolver as alterações principais e secundárias e as correções de bugs durante o ciclo de vida de desenvolvimento.

Próximas etapas

Desenvolvimento, implementação e operações de segurança