A Verizon Communications Inc. opera uma das principais redes sem fio dos EUA e uma rede nacional toda em fibra. Além disso, entrega soluções integradas a empresas em todo o mundo. A empresa conta com 163.400 funcionários e gerou cerca de 126 bilhões USD de receita em 2016.
A Verizon é um dos maiores provedores de tecnologia da comunicação do mundo. A cada dia, a empresa conecta milhões de pessoas, empresas e comunidades usando sua rede premiada para inovar nas áreas de entretenimento interativo, mídia digital, Internet das Coisas e serviços de banda larga.
Como provedor de tecnologia de várias das principais empresas do mundo, a Verizon está bem ciente dos benefícios da computação em nuvem. Para apoiar a migração de seus aplicativos empresariais para a Amazon Web Services (AWS), a Verizon precisava de uma forma de escalar os processos de validação de segurança além das atividades manuais da equipe de segurança. Chris Durand, diretor de serviços de integração de segurança na nuvem da Verizon, observa que a Verizon teve de considerar vários fatores para encontrar uma solução eficaz, incluindo:
Ambiente físico compartilhado – Com aplicativos locais, a Verizon sabe o que mais é executado no datacenter. Na nuvem, Durand comenta que “Não há paredes físicas. Um dos nossos aplicativos pode ser executado no mesmo servidor de um aplicativo da concorrência.”
Modelos de implantação diferente – Em um modelo local, o hardware é implantado pela equipe de hardware, sistemas operacionais são implantados por outra equipe e assim por diante. Na nuvem, são os desenvolvedores (que não são especialistas nesses dois aspectos da implantação) que provisionam o hardware e os sistemas operacionais, o que é mais um motivo para verificar a configuração de segurança.
Dependência da automação – Na nuvem, a implantação é movida por automação. Para integração com os processos de implantação e para apoiar os aplicativos que a empresa pretende migrar para a AWS, a Verizon precisa abordar a segurança de forma automatizada.
“Utilizamos uma abordagem de defesas em profundidade, que inclui vários níveis de controles como prevenção, detecção e correção automática”, explicou Durand. “A primeira parte, prevenção, evita que configurações de segurança inválidas sejam implantadas.”
O novo Development-Security-Operations Pipeline (DSOP – Pipeline de desenvolvimento-segurança-operações) é um método preventivo usado pela empresa para garantir que aplicativos implantados na nuvem pública cumpram todas as políticas de segurança de aplicativos na nuvem. O DSOP, executado na AWS, foi criado com o auxílio da Stelligent, uma divisão da HOSTING e um parceiro de consultoria Premier da rede de parceiros da AWS (APN).
Usando o AWS CloudFormation, a Verizon permite que desenvolvedores e administradores de sistema usem código para provisionar, atualizar e gerenciar uma coleção de recursos da AWS relacionados, denominado pilha, de forma consistente e controlada. Baseado no AWS CloudFormation, o DSOP representa os elementos necessários para validação de segurança como código, facilitando dessa forma um meio automatizado de garantir conformidade com políticas de segurança.
“Aceitamos que infraestrutura é código, e seu desenvolvimento deve ser tratado da mesma forma”, disse Durand. “A próxima progressão lógica é tratar segurança como código, uma forma de automatizar e acelerar sua incorporação ao processo de desenvolvimento. Somente quando integrarmos todas as partes interessadas necessárias para entregar soluções em nuvem ao processo de desenvolvimento poderemos realmente alcançar as metas exigidas em uma cultura de DevOps. A segurança é essa próxima fronteira.”
O DSOP divide o processo de validação de segurança em três etapas independentes. Se o aplicativo não passar pela primeira etapa, não chega à segunda e às demais etapas, que incluem:
Etapa 1 – Análise estática de modelos do CloudFormation. Na primeira etapa do pipeline, o DSOP usa o CFN_NAG, uma ferramenta de código aberto da Stelligent, para executar uma análise estática do modelo do CloudFormation. A ferramenta usa regras criadas pela Stelligent para verificar configurações relacionadas à criptografia, ao registro de acesso em log, aos grupos de segurança e ao gerenciamento de identidade e acesso. Os resultados do CFN_NAG incluem os identificadores de recursos lógicos para recursos que violam regras de segurança e uma explicação de qual regra foi violada. Para obter mais informações sobre o CFN_NAG, consulte este artigo do blog da Stelligent.
Etapa 2 – Análise da pilha do CloudFormation implantada. Na segunda etapa do pipeline, o DSOP usa o modelo do CloudFormation para implantar o aplicativo em um ambiente de teste criado explicitamente para validação da segurança. Em seguida, o DSOP usa o serviço AWS Config juntamente com as regras criadas pela Stelligent para conferir, auditar e avaliar as configurações de segurança dos recursos da AWS criados como parte da pilha do CloudFormation.
Etapa 3 – Análise de vulnerabilidades. Na terceira etapa do pipeline, o DSOP usa um produto de terceiros para fazer uma análise de vulnerabilidades não detectadas nas etapas anteriores, como versões vulneráveis de ferramentas de infraestrutura ou patches de sistema operacional não aplicados. Após a análise de vulnerabilidades, o ambiente de teste é destruído.
Os resultados do pipeline são assinados com uma assinatura digital, verificada por um agente dentro do pipeline de implantação automatizado da empresa (baseado no Red Hat Ansible) para determinar se o aplicativo está aprovado para implantação em produção. Cada etapa do pipeline também pode ser executada de forma independente pelas equipes de desenvolvimento.
“Praticamente todas as ferramentas de segurança exigem recursos instanciados na AWS antes que as mesmas possam validar uma configuração de segurança”, explica Durand. “A ferramenta CFN_NAG da Stelligent supera esse desafio lendo um modelo do CloudFormation e avaliando sua aderência a políticas de segurança personalizáveis antes de executar um CREATE_STACK. Como o CFN_NAG também pode ser usado de forma independente pelos desenvolvedores, proporciona uma boa forma de detectar práticas de codificação deficientes logo no início do processo, como portas não bloqueadas ou um bucket de código com uma ACL de leitura pública.”
Arquitetura da solução DSOP
O DSOP executa um pipeline do Jenkins no Amazon Elastic Compute Cloud (Amazon EC2), usando o Amazon Simple Storage Service (Amazon S3) para capturar logs e para outras tarefas de armazenamento. O DSOP também usa o Amazon CloudFormation para implantação de pilhas (e implantação do próprio serviço do CFN_NAG), o AWS Config para verificação dinâmica de conformidade e o AWS Lambda para regras de configuração personalizadas.
Criado com a ajuda da Stelligent, o DSOP da Verizon oferece à empresa um meio automatizado de verificar a adequação da configuração de segurança da infraestrutura da AWS antes da implantação em produção. Os benefícios específicos incluem:
Conformidade completa com políticas de segurança. O DSOP oferece à Verizon uma forma consistente de garantir que aplicativos implantados na Nuvem AWS cumpram todas as regras de configuração de segurança. Assim, a empresa pode detectar possíveis riscos de segurança antes da implantação em produção. “O DSOP demonstrou que podemos alcançar 100% de conformidade com as políticas de segurança”, afirmou Durand. “Além disso, com o DSOP, podemos verificar a configuração de segurança de um aplicativo em um ambiente que não é de produção, o que tem um custo muito menor, do ponto de vista dos recursos, que detectar um problema depois da implantação.”
Suporte ao desenvolvimento ágil. O DSOP funciona inteiramente no modelo de autoatendimento. As equipes de desenvolvimento podem executá-lo a qualquer momento para garantir que os aplicativos estejam prontos para o ambiente de produção, em vez de liberar um aplicativo para depois perceber a necessidade de alterar as configurações. “O DSOP é totalmente automatizado e integrado ao nosso pipeline de DevOps para oferecer suporte ao desenvolvimento ágil”, disse Durand. “Além disso, com o DSOP, estamos criando um ciclo de comentários que orienta os desenvolvedores sobre as melhores práticas do CloudFormation e aumentam o seu conhecimento sobre como implantar uma infraestrutura segura da AWS.”
Agilidade na criação e implantação de novas regras de segurança. Como parte do seu envolvimento, a Stelligent passou algumas semanas treinando a equipe de Durand na manutenção do DSOP. A equipe pode criar novas regras de segurança com rapidez e facilidade, além de aplicá-las imediatamente ao pipeline. “A transferência de conhecimento foi um fator essencial dessa interação”, comentou Durand. “Na verdade, a Stelligent entregou 100% de todos os aspectos do projeto. Recebemos exatamente o que solicitamos, a qualidade do trabalho foi excelente e hoje a nossa equipe, além de entender completamente o DSOP, também consegue aprimorá-lo.”
Escalabilidade em toda a empresa. Como o DSOP é totalmente automatizado e executado na própria AWS, a Verizon pode escalar o seu uso em toda a empresa para acomodar os diversos aplicativos que a empresa pretende migrar para a nuvem. “Seria necessária uma grande quantidade de recursos para fazermos as mesmas verificações manualmente, sem falar na possibilidade de erros humanos”, afirmou Durand.
E concluiu: “Os benefícios do nosso método DSOP para o bottom-line são simples: podemos evitar infraestruturas inseguras antes da implantação, em vez de detectar esses problemas após a implantação. Naturalmente, ainda fazemos conferências manuais, e não detectamos nenhum problema de configuração de segurança após o uso do DSOP.”
A Stelligent, um parceiro de consultoria Premier da rede de parceiros da AWS (APN), é uma empresa de serviços de tecnologia que oferece serviços gerenciados e de automação de DevOps na AWS.
Para obter mais informações sobre como o Stelligent pode ajudar a sua empresa a criar e gerenciar o ambiente da AWS, consulte as informações da Stelligent no diretório de parceiros da AWS.