Published: Jan 11, 2021 by Binario Etico
L’adozione spinta di tecnologie di IT Automation, nel paradigma Infrastructure-as-Code, conduce inesorabilmente verso una complessità che, se non dominata in fase di progettazione, diventa insostenibile. Si parla oggi delle cosiddette “4C” quando ci si riferisce alle entità fondamentali e concentriche dei sistemi IT moderni: Code, Container, Cluster e Cloud. Come proteggere ambienti costruiti con un simile livello di complessità e fragilità? La nostra risposta è di adottare le stesse armi dell’IT automation e dell’approccio DevOps.
La sicurezza deve diventare, cioè, parte del processo DevOps. Introdotto per velocizzare il rilascio di sofware, tale processo può essere usato anche per integrare i controlli di sicurezza nelle pipeline di CI/CD. Vale a dire che i singoli passaggi e le loro sequenze possono essere codificati ed evoluti con sintassi al contempo human-readable e machine-readable.
La cyber security non va considerata un optional da aggiungere al DevOps, ma una sua parte imprescindibile. Solo così le applicazioni possono essere rilasciate con un determinato standard di sicurezza che soddisfi obiettivi predefiniti. In questo senso parliamo di conformità adattiva nell’articolo su Cybersecurity360, ossia una continua tensione verso buone pratiche in incessante evoluzione, una perdurante ricerca di conformità delle componenti IT e delle loro configurazioni, attraverso i diversi livelli di astrazione delle nuove architetture.
Diversamente dal passato, tale ricerca può essere condotta in modo sistematico utilizzando automation tool Open Source come SysDig e Anchore. Buon DevSecOps a tutte, quindi!
