À medida que o mundo avança em direção à digitalização, garantindo a segurança da infraestrutura em nuvem e uma gestão robusta torna-se imperativa, especialmente para organizações centradas em dados como a BigIDCom uma ampla pegada digital abrangendo muitos ativos de nuvem, alcançar um gerenciamento de segurança em nuvem perfeito e sem erros é fundamental para a BigID. Adotando a filosofia de Infraestrutura como Código (IaC) e aproveitar as capacidades de GitLab, BigID está liderando uma era de segurança automatizada em nuvem. Este blog se aprofunda nessa jornada de automação, explicando a lógica por trás dela, seus benefícios e o processo detalhado envolvido.
Enfrentando os desafios de segurança
No epicentro das operações da BigID está a gigantesca tarefa de gerenciar grandes quantidades de dados. Quanto maior a escala de dados manipulados, maior o risco e a probabilidade de encontrar potenciais ameaças à segurança. Nesse cenário, a importância da detecção e resposta a ameaças em tempo real aumenta.
Historicamente, as medidas de segurança eram atualizadas e implantadas manualmente, um processo que consumia muito tempo e recursos, sujeito a erros humanos. Com a evolução da tecnologia, percebeu-se que a automatização desses processos usando Princípios do IaC poderia fornecer uma maneira mais eficiente, confiável e livre de erros de manter uma postura de segurança inabalável e consistente.
Adotando a infraestrutura como código (IaC) com o GitLab
O GitLab se tornou um padrão de desenvolvimento de software em diversos setores, oferecendo uma plataforma abrangente e integrada com recursos como gerenciamento de código-fonte e ferramentas CICD. São esses recursos robustos que a BigID decidiu aproveitar para automatizar sua postura de segurança na nuvem.
Abandonando o pipeline tradicional de CICD com várias etapas, a BigID adotou a abordagem IaC para configurar e proteger sua infraestrutura de nuvem. O IaC transforma fundamentalmente a forma como os data centers são gerenciados e provisionados. Em vez de recorrer à configuração de hardware físico ou a ferramentas de configuração interativas, a filosofia IaC preconiza o uso de arquivos de definição legíveis por máquina.
Como isso funciona no ambiente GitLab? O BigID armazena esses arquivos de definição em um repositório GitLab. Quando as políticas que definem o estado desejado da infraestrutura de nuvem são atualizadas e confirmadas no repositório, as ferramentas CICD do GitLab entram em ação. Elas usam esses arquivos automaticamente para criar, atualizar ou excluir a infraestrutura de nuvem, conforme necessário. Esse modus operandi aumenta a eficiência e minimiza o risco de erros, uma combinação perfeita para operações complexas.
Configurando a infraestrutura de nuvem
Para aproveitar todo o potencial dos recursos do GitLab para automatizar seus postura de segurança na nuvemO processo do BigID começa com a criação e o comprometimento de arquivos de políticas com um repositório. Esses arquivos de políticas descrevem o estado desejado da infraestrutura de nuvem. Assim que essas políticas são comprometidas com o repositório, as ferramentas CICD do GitLab entram em ação e aplicam automaticamente essas alterações à infraestrutura de nuvem.
Em nossa arquitetura, um repositório abriga todas as políticas do CloudCustodian. Sempre que ocorre uma solicitação de mesclagem aprovada, ela aciona um pipeline, criando Runners para executar tarefas específicas. Essas tarefas descrevem os tipos de contêineres a serem criados e as tarefas que eles executarão por conta e região. Dependendo da tarefa, os contêineres construídos, equipados com as políticas atualizadas do CloudCustodian, são enviados para o registro ECR. O AWS ECS então inicia uma tarefa para coletar essas políticas que executam e implementam ações de correção, utilizando Instâncias Spot do AWS Fargate para execução. Esse processo segue um modelo de hub e spoke, em que o contêiner que executa o CloudCustodian emprega uma função da AWS vinculada ao contêiner para assumir permissões específicas nas contas e regiões de destino para executar a política. Após a conclusão, ele encaminha os logs de execução para os respectivos Grupos de Logs do CloudWatch.
Uma das vantagens notáveis dessa abordagem reside em sua adaptabilidade e flexibilidade. O BigID pode personalizar políticas que atendam aos seus requisitos operacionais específicos e ao cenário de ameaças em constante evolução. Por exemplo, as políticas podem exigir que todos os dados em repouso sejam criptografados. Elas também podem restringir o acesso a recursos sensíveis, reforçando a estrutura de segurança.
No contexto do gerenciamento de segurança em nuvem, existem dois tipos de políticas, OneTimePolicies e ContinuousPolicies, que desempenham um papel crítico. As OneTimePolicies são projetadas para alterações de políticas únicas e ad hoc. Elas são especialmente úteis quando uma alteração específica é necessária, como uma modificação temporária em resposta a uma ameaça única ou alteração no ambiente de nuvem. Por outro lado, as ContinuousPolicies são implementadas para políticas executadas em um intervalo regularmente programado. Essas políticas são cruciais para manter uma postura de segurança contínua, automatizada e consistente. Isso permite que o BigID realize verificações e atualizações regulares automaticamente, garantindo que a infraestrutura de nuvem esteja em conformidade com o estado desejado definido pelas políticas. Dessa forma, as OneTimePolicies e as ContinuousPolicies trabalham juntas, permitindo ajustes imediatos e ad hoc e verificações consistentes e programadas, fornecendo uma solução de segurança em nuvem abrangente e flexível.
Ao alavancar o princípio da Infraestrutura como Código e aproveitar os recursos das ferramentas CICD do GitLab, a BigID alcançou um feito significativo na gestão de segurança em nuvem. Automatizamos efetivamente nossa postura de segurança em nuvem, garantindo atualizações constantes que fornecem proteção reforçada contra ameaças potenciais, reduzindo ao mínimo o risco de erro humano. Não deixe de conferir nossa publicação. Acelerando a detecção de ameaças por meio da engenharia para casos de uso adicionais do CICD!
Lições Aprendidas
Um dos principais obstáculos que encontramos durante este projeto foi a utilização otimizada Infraestrutura da Amazon AWS através do nosso pipeline CICD do GitLab. A vasta gama de serviços oferecidos pela AWS apresentou uma curva de aprendizado acentuada. Foi desafiador integrar e gerenciar esses serviços dentro do pipeline de forma eficiente. Além disso, garantir a implantação consistente e automatizada de nossas políticas de segurança em várias contas da AWS se mostrou complexo, levando a uma desaceleração no desenvolvimento. Apesar desses desafios, a equipe superou esses problemas entendendo meticulosamente cada serviço da AWS, como o pipeline CICD funcionava com cada serviço e testando e iterando continuamente nossas configurações. Essa experiência enfatizou a importância do conhecimento profundo e do planejamento adequado ao lidar com plataformas de nuvem complexas.
Considerações Finais
Além disso, a abordagem libera recursos valiosos dentro do BigID, permitindo-nos canalizar nossos esforços para tarefas mais estratégicas e iniciativas centradas no cliente. A automação não apenas aprimora a segurança, mas também promove uma cultura de proatividade dentro da organização. Essa proatividade se manifesta na capacidade de detectar e mitigar potenciais vulnerabilidades bem antes que elas tenham a chance de causar qualquer dano. É como ter um guardião de segurança automatizado que nunca dorme, mantendo uma vigilância vigilante sobre a infraestrutura de nuvem 24 horas por dia.
Além disso, essa abordagem inovadora à segurança na nuvem é intrinsecamente escalável. À medida que a BigID continua expandindo suas operações e gerenciando volumes de dados cada vez maiores, os princípios de IaC podem ser facilmente adaptados para atender a esse crescimento. Essa escalabilidade garante que, independentemente do crescimento da BigID, sua postura de segurança na nuvem permaneça robusta e confiável, pronta para enfrentar qualquer desafio que surja.
Mas a jornada não termina aqui. O cenário digital está em constante evolução, com novas ameaças à segurança surgindo. No entanto, com uma postura automatizada de segurança na nuvem, a BigID está bem equipada para se manter à frente. Podemos adaptar nossas medidas de segurança em tempo real para combater essas ameaças, garantindo que estejamos sempre um passo à frente.
A jornada de automatizando a segurança da nuvem na BigID é um testemunho das maneiras inovadoras pelas quais as organizações podem adotar a tecnologia para aprimorar sua postura de segurança. Ao combinar os princípios de Infraestrutura como Código com as ferramentas CICD do GitLab, a BigID não está apenas aprimorando suas defesas, mas também abrindo caminho para um futuro em que a automação desempenha um papel central na segurança da nuvem. Neste mundo digital em constante mudança, a automação não é mais apenas um recurso opcional; é uma necessidade absoluta, um pilar fundamental para organizações que buscam fornecer serviços seguros, confiáveis e eficientes.
Para saber mais sobre os esforços contínuos de segurança em nuvem da BigID e descoberta automatizada de dados—Obtenha uma demonstração gratuita 1:1 hoje mesmo.
Autor
