O cenário de Aplicações cloud native vem passando por uma série de inovações à medida que novas tendências em segurança na nuvem vêm surgindo. Mas quais são os principais desafios da segurança em cloud native?
Este foi o tema de um bate-papo entre Magno Logan, especialista em segurança da informação da Trend Micro, e Wagner Elias, CEO da Conviso, em um webinar da Conviso, que aconteceu no dia 18 de agosto. Confira alguns dos principais pontos levantados ao longo da conversa.
Afinal, o que é Cloud Native?
Magno e Wagner começaram o bate-papo abordando sobre as diferentes atribuições que o mercado dá ao termo cloud native. “Vejo duas definições diferentes – o conceito de cloud native criado pela própria Cloud Native Computing Foundation – que seria de microsserviços, de observabilidade, de API por padrão. E tem o segundo conceito, que chama de cloud native todo serviço oferecido pelo provedor de nuvem – e eu não gosto muito desta definição, pois é uma definição mais voltada para vendas”, afirma Magno.
A Cloud Native Computing Foundation (CNCF) citada por Magno é uma fundação open source subsidiária da Linux Foundation criada em 2015, que promove o cloud native. Eles definem cloud native como o uso de software de código aberto, bem como tecnologias como containeres, microsserviços e service mesh, para desenvolver e implantar aplicações escaláveis em plataformas de computação em nuvem.
“Alguns conceitos são muito importantes para serem negligenciados”, afirmou Wagner. “Quando falamos de uma aplicação cloud native, estamos falando de conceitos de arquitetura que mudam, e consequentemente, a segurança também muda”, reforçou.
Containers e orquestração de containers
Outro tema abordado ao longo do webinar foi o de containers e orquestração de containers – que, de acordo com os speakers, estão entre as primeiras associações que muitas pessoas fazem quando o tema é cloud native.
“Os containers vieram para resolver um problema que tínhamos na parte de desenvolvimento de deployment de aplicações – da dependências de bibliotecas, e na questão do consumo de gerenciamento de recursos no servidor – você superestimava os recursos e não usava tudo, perdia dinheiro porque tinha só uma aplicação rodando no servidor. Agora com containers, rodam várias aplicações separadas, isoladas, cada uma com suas bibliotecas”, pontuou Magno.
O Docker veio, então, para facilitar isso. Mas como realizar o gerenciamento quando isso cresce demais – e chega a centenas de containers?
De acordo com Magno e Wagner, é aí que chegamos aos orquestradores de containers, sendo os Kubernetes os mais conhecidos no mercado. Trata-se de um sistema vivo, que controla e gerencia suas aplicações.
No entanto, vale pontuar que apesar da tecnologia Docker e seus containers terem se popularizado em 2013, essa tecnologia não é exatamente nova. O conceito original de container está presente na estrutura de sistemas operacionais desde 1970, quando desenvolvedores de sistemas UNIX imaginaram uma forma de isolar códigos críticos nestes sistemas operacionais. Isto permitia que os desenvolvedores testassem seus códigos de forma isolada, quase como uma sandbox.
Falamos mais sobre isso neste artigo sobre segurança em containers – não deixe de conferir!
Quando o tema é cloud native, qual o papel do dev?
Outro ponto levantado por Wagner e Magno ao longo da conversa foi o do papel do profissional de desenvolvimento neste processo.
“Costumo dizer que o modelo de segurança que a gente se acostumou a adotar onde tem um gateway de validação – seja com testes ou ferramentas automatizadas para fazer análise de código-fonte – são, sim, importantes, mas não resolvem todo o problema. Porque hoje o dev consegue gerenciar todo o ecossistema da programação”.
De acordo com o especialista, hoje o programador consegue construir o ambiente em que vai rodar essa aplicação, provisiona os serviços de cloud, e os distribui dentro dos Kubernetes – ou seja, mudou completamente a maneira em que se trabalha, com maior autonomia para o desenvolvedor.
Uma tendência apontada pelos especialistas é a de que atribuições de áreas como QA e AppSec sejam cada vez mais exercidas por desenvolvedores.
Se você tem interesse em participar de discussões acerca de novidades, inovações e notícias sobre o mundo de segurança de desenvolvimento, não deixe de participar da comunidade DevSecOps da Conviso.
