DevOps com Micro Segmentação para proteger a TI Bimodal
*Leonardo Carissimi
Uma parte cada vez maior das inovações nos negócios são "TI dependentes". Ou seja, para resolver problemas de negócio e inovar em produtos e serviços, os negócios dependem cada vez mais de tecnologias como Computação em Nuvem, Mobilidade, Redes Sociais e Big Data. É a chamada transformação em Negócios Digitais.
Essa demanda crescente por suporte à inovação trouxe aos Departamentos de Tecnologia um grande dilema: precisam simultaneamente habilitar a inovação e suportar os sistemas legados. São dois desafios bem distintos, com requerimentos diferentes e é necessário um equilíbrio entre eles. Para ter sucesso, muitos Departamentos de Tecnologia passaram a organizar-se em dois mundos: um para tratar da TI tradicional (modo 1, de acordo com o Gartner), com foco em operações críticas onde atributos como estabilidade, eficiência e segurança são mandatórios; e outro (modo 2) para atender às demandas de inovação, uma "TI Inovadora", com foco em experimentação e agilidade. Este segundo é mundo das metodologias Agile e DevOps, observadas em crescente adoção no mercado.
Agile e DevOps buscam habilitar a inovação e experimentação de modelos de negócio diferentes, visando responder rapidamente a estímulos de seus clientes identificados por meio de canais como Social Media e Data Analytics. Nesse processo, aplicações são disponibilizadas em inúmeras versões com pequenos incrementos a cada ciclo. Por definição, ao adotar-se metodologias ágeis como o DevOps, a organização está reduzindo controles e, portanto, assumindo alguns riscos calculados (técnicos e de negócio).
Mas ainda que estes riscos sejam calculados, existem armadilhas. Supõem-se que os riscos que se correm com estas aplicações são menores, por tratar-se de sistemas onde o conjunto de dados é menos crítico e incidentes de segurança, portanto, não teriam impacto tão grande quanto aqueles na TI tradicional. Faz sentido, mas atenção: uma brecha bem explorada em um sistema ágil pode servir de porta de entrada para malwares e invasores no outro mundo, o da TI Tradicional, comprometendo a criticidade do negócio.
É necessária a adoção de mecanismos de segurança que sejam tão ágeis quanto a aplicação que está se desenvolvendo, e que assegurem que eventuais brechas de segurança que a TI Inovadora apresente sejam encapsuladas e restritas a este mundo de riscos menores e dados não-críticos. É preciso isolar as aplicações ágeis de modo tão inovador quanto elas. Nada de diversas camadas de firewalls, VLANs, VPNs formando um complicado e rígido mecanismo de proteção. É preciso de tecnologia que garanta o isolamento com simplicidade e agilidade para implementar, expandir, reduzir e mudar. Baixo custo de implementação e de gerenciamento.
Soluções como a micro segmentação definida por software podem cumprir esse papel. Trabalhando com a mesma consistência em distintas plataformas da TI Tradicional (servidores físicos ou virtuais dentro do Data Center corporativo) como nas plataformas da TI Inovadora (Computação em Nuvem e dispositivos móveis), ela leva a segurança para onde a mesma faz-se necessária. Sendo baseada em software, pode ser implementada de modo transparente em qualquer infraestrutura, mesmo heterogênea e composta por diferentes fabricantes de produtos de rede e segurança. Adotando técnicas criptográficas, pode não apenas proteger os dados em movimento, como também tornar invisíveis os equipamentos que protege. E pode organizar os direitos de acesso tendo por base a identidade dos usuários e serviços, evitando os transtornos de gestão de segurança baseada em endereçamento IP, com grande simplicidade para implementar e gerenciar.
Em outras palavras, a micro segmentação pode isolar os sistemas da TI Tradicional daqueles da TI Inovadora, restringindo a superfície de ataque apenas aos elementos desta última. Permite fazer uma segregação lógica dos dois mundos tão eficaz quanto se fosse uma segregação física.
Os métodos ágeis são uma resposta inteligente dos Departamentos de Tecnologia às demandas por inovação e agilidade apresentadas pelas áreas de negócio. É importante abraçá-las. Mas tão importante quanto abraçá-las é atuar com controles adequados ao mundo da TI Inovadora, controles flexíveis e ágeis e que mitiguem os riscos de que a TI Inovadora impacte na TI Tradicional.
Nesse sentido, a micro segmentação é para o mundo da segurança o que o DevOps é para o desenvolvimento e disponibilização de aplicações. Um habilitador de novos negócios.
* Leonardo Carissimi lidera a Prática de Segurança da Unisys na América Latina