Metodologia DevSecOps per un cloud agile e sicuro

Metodologia DevSecOps per un cloud agile e sicuro
Giovanni Mancuso, Competence Center manager di Par-Tec

Nuovi scenari per la cloud security tra integrazione, automazione e collaborazione

Lo scenario in cui operano le aziende in questi ultimi anni è cambiato drasticamente: il boom dello smart working e l’impennata dei servizi e delle infrastrutture cloud, ha accelerato i processi e portato all’adozione di ambienti variegati, geo-distribuiti e containerizzati.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Un contesto così fluido necessità però di una maggiore attenzione ai rischi legati alla cybersecurity. Lo dimostrano chiaramente i dati raccolti nel Rapporto Clusit 2022 sulla sicurezza ICT in Italia: nel 2021 gli attacchi informatici sono cresciuti del 10% a livello globale rispetto al 2020, e ne è aumentata anche la gravità. Il 79% dei casi ha un impatto “elevato”, contro il 50% dell’anno precedente: questa percentuale si compone di un 32% di attacchi classificati con una severity “critica” ed un 47% “alta”.

Con lo sviluppo agile, caratterizzato da un ciclo di vita iterativo e da pipeline di Continuous Integration/Continuous Delivery (CI/CD), un’applicazione viene modificata molto più frequentemente che in precedenza, impattando sui processi di security basati solamente su controlli pre-delivery. Le aziende, quindi, devono ripensare l’approccio alla sicurezza in chiave DevSecOps, una metodologia che consiste nell’anticipare (shift-left) e distribuire i controlli di sicurezza durante tutto il ciclo di gestione delle piattaforme. Questo percorso richiede di individuare le tecnologie più adatte ai propri team di sviluppo e ai processi, attraverso il supporto costante di un system integrator come Par-Tec: specializzato su cloud computing, soluzioni per la sicurezza e la privacy compliance, da anni è in prima linea per aiutare i suoi clienti a cogliere tutti i vantaggi offerti dal cloud, dal DevOps e dall’automation.

Le infrastrutture programmabili tipiche del cloud semplificano l’adozione di un approccio DevSecOps, che permette di ridurre il rischio di vulnerabilità applicative e quello di una violazione dei dati aziendali, integrando i processi di sicurezza sin dalla fase di progettazione del software e consentendo di rilevare rapidamente eventuali problemi. Secondo il NIST (National Institute for Standards and Technologies degli USA), i costi per la risoluzione di un problema di sicurezza dopo la messa in produzione possono essere 30 volte superiori a quelli sostenuti risolvendolo nelle prime fasi del ciclo di vita dello sviluppo del software. A dimostrazione che la sicurezza non può essere vista come un costo o un ostacolo alla produttività.

Leggi anche:  VMware accelera l'innovazione data-driven con nuove funzionalità avanzate di data services per VMware Cloud Foundation

Oltre a rilevare preventivamente eventuali problemi, l’approccio DevSecOps ha altri vantaggi importanti: riduce il tempo complessivo di delivery e aumenta la redditività, la flessibilità e la capacità di innovare, diminuisce lo stress dei team di operation, riduce i costi di governance e conformità ed infine consente di sfruttare pienamente le infrastrutture e le tecnologie cloud-native. Inoltre, il paradigma DevSecOps incentiva l’approccio collaborativo tra i vari team, fornendo loro un feedback tempestivo nella routine quotidiana, che consente di individuare e risolvere le falle di sicurezza e al tempo stesso di formare le persone coinvolte attraverso la tecnologia e l’automazione.

Ed è in questo nuovo scenario che cresce il reale valore di un system integrator come Par-Tec, capace di promuovere un processo di emancipazione culturale e tecnologica dei propri clienti, attraverso il ruolo di technology advisor e driver di nuove competenze.