#88 DevSecOps colaborativo

Subscribe to get the latest

on 2022-05-24 00:00:00 +0000

with Darren W Pulsipher, Mike Fraser, Callen Sapien,

Neste episódio, Darren conversa com Callen Sapien, Diretor de Gerenciamento de Produtos da Sophos Factory, e Mike Fraser, VP de DevSecOps, sobre seu produto que permite uma colaboração verdadeiramente integrada entre Segurança, Desenvolvimento e Operações (SecDevOps).


Keywords

#devsecops #automation #moderncomputing #agile #integration #zerotrust #security #multicloud #cybersecurity #people #process #technology


A experiência de Mike como engenheiro de segurança cibernética na Força Aérea e depois trabalhando em desenvolvimento, segurança, operações e serviços gerenciados, levou-o a um objetivo de criar um produto que pudesse ser colaborativo para construir automação moderna em torno do que ele chama de TI como código. Ele queria analisar o DevSecOps de forma holística, reunindo todos.

Seu produto resultante, Sophos Factory, cria soluções modernas em torno de blocos de construção com recursos, funcionalidade e experiência do usuário que podem ser utilizados em todo o espectro de talento técnico. Resolver esse problema foi complexo, envolvendo pessoas que trabalham visualmente, desenvolvedores que programam, entre outros… Também foi necessário preencher a lacuna entre hardware e software, utilizando um processo ágil entre equipes.

A Sophos Factory é mais do que apenas um pipeline CI/CD. Isso é uma pequena parte de todo o sistema, que funciona de ponta a ponta desde o desenvolvimento, segurança, operações e implantação com recursos como um construtor visual, DSL e suporte para todo o conteúdo em seu formato nativo. Também se integra a sistemas existentes. Ela reúne todas as equipes diferentes e as diferentes ferramentas que elas usam, então vai muito além de simplesmente criar um pipeline ou automação.

Usuários individuais são apresentados com as peças com as quais estão familiarizados, mas todas com a mesma interface. Por exemplo, um conjunto de scripts pode ser construído a partir de um formato visual. Uma pessoa de segurança pode usar a mesma interface com as ferramentas e artefatos que esperam. Um desenvolvedor full-stack ou um engenheiro DevOps pode incorporar e construir todos os artefatos de uma maneira que as outras equipes possam usar. Não se trata da criação de um pipeline para uma peça de automação, mas de um tecido interconectivo entre sistemas díspares.

Integração significa o movimento de dados, mas também significa ações. Por exemplo, suponha que alguém utilize o Jira no lado de programação, o ServiceNow no lado de operações de TI e um componente de resposta a incidentes no lado de segurança. Nesse caso, é possível integrar todas essas partes e enviar algo para o Slack, para que todos tenham visibilidade e possam responder quase em tempo real.

A Sophos Factory embala módulos em pipelines para reutilização, que se tornam blocos de construção. Estes podem ser construídos em torno de vários casos de uso, mas o objetivo é que você esteja criando algo que possa ser usado várias vezes. Por exemplo, suponha que você esteja usando o ServiceNow e queira criar um ticket. Nesse caso, você o utiliza em vários outros casos de uso relacionados à automação de rede, automação de infraestrutura, nuvem, segurança nativa, etc. Trata-se de construir soluções, não apenas automatizar essas coisas juntas. A última peça é tornar prova de futuro, não apenas repetibilidade. Você pode adicionar ou subtrair do pipeline geral, o que não é possível com hardware, mas também é muito difícil com sistemas existentes, como sistemas CI/CD que são feitos para lançar software em produção, não para construir holisticamente uma solução e manter o ciclo de vida ao longo do tempo.

Com a tecnologia Sophos Factory, você pode empacotar diferentes ferramentas para ajudar a aderir a padrões como CIF ou NIST 853 e tê-las disponíveis como pipelines de código baixo ou sem código. O Sophos Factory diverge de outras tecnologias de automação com seu compartilhamento por meio de catálogos de soluções. Você pode publicar blocos de construção de automação, soluções completas ou consumir automação criada por outras equipes. Isso cria uma tremenda flexibilidade.

O controle de versão está integrado nos pipelines e nos catálogos de soluções. Se você estiver usando um pipeline de solução de um registro publicado por outra pessoa, você pode configurá-lo para qualquer versão que desejar ou atualizá-lo para a versão mais recente para obter atualizações. O RBAC também faz parte do sistema, caso você queira conceder acesso somente a usuários específicos, por exemplo, apenas leitura. Com a interoperabilidade do Sophos Factory, você também pode integrar ferramentas de escaneamento para manter a visibilidade no pipeline. Você também pode executar diferentes canais em torno das ferramentas de política.

Sophos Factory entrelaça segurança e fluxos de trabalho de TI, criando um excelente ponto de integração entre o trio de monstros formado por Dev, Sec e Ops.

Para melhorar a segurança, a Sophos Factory possui um produto de confiança zero e atestação, mas eles também trabalham com outros produtos de segurança, como o HashiCorp Console. A capacidade de confiança zero e atestação é a evolução natural para autenticar entre diferentes sistemas. Em vez de credenciais estáticas, agora existem maneiras melhores de comunicar e compartilhar atestação de forma segura entre os outros.

A Sophos Factory possui um sistema de credenciamento integrado para gerenciamento de chaves e suporta o HashiCorp Vault e modelos nativos em nuvem. Eles também podem ajudar a construir serviços de gerenciamento críticos na nuvem e embalá-los em torno de um pipeline. Não é apenas uma variável de credencial em tempo de execução, mas também um passo de credencial que é avaliado apenas em tempo de execução. Eles podem ser adicionados em cima dessas ferramentas de segurança, tornando-se naturalmente parte da sua solução de construção.

A fábrica da Sophos está no espaço de RPA, mas vai muito além de um RPA típico. Eles são tecnicamente RPA porque, embora os humanos ainda estejam envolvidos na fabricação das coisas, as máquinas são utilizadas para automatizar o processo. Os clientes estão procurando maneiras de escalar e obter valor de forma segura dos produtos de TI que adquirem. A Sophos Factory abraça ajudar o talento técnico a evoluir e lhes dando acesso a conjuntos de ferramentas, obtendo mais deles e fazendo isso de maneira segura.

Podcast Transcript