Matriz de Qualidade — Parte 4
Conhecendo o Pilar Segurança
Se você ainda não viu os outros posts dessa série, clique nos links abaixo:
Matriz de Qualidade — Parte 2 — Pilar Design
Nos dias de hoje onde praticamente todos os dias empresas são alvos de ataques maliciosos, seja com intuito de negação de serviço ou até mesmo de sequestro de dados, segurança virou sinônimo de qualidade, por isso hoje vamos continuar nossa série sobre a Matriz de Qualidade falando do Pilar Segurança, que é baseado praticas de segurança no ciclo de desenvolvimento de software.
Vale ressaltar que esse é um pilar de incertezas, todos estão sujeitos a ataques e todos os dias surgem novas vulnerabilidades, por isso o caminho mais comum é se proteger de vulnerabilidades conhecidas.
Análise estática de código
Da mesma maneira que existem ferramentas que realizam analise estática de código voltada para qualidade, existem ferramentas que realizam analise estática baseada em critérios de segurança, por isso é essencial a aderência de uma em seu dia a dia.
Análise estática de provedor Cloud
Assim como seu código, seu provedor cloud também pode ter vulnerabilidades, por isso ferramentas que realizam analise estática do seu ambiente afim de capturar vulnerabilidades conhecidas, como bancos de dados ou storages sem criptografia, recursos abertos para internet ou até mesmo usuários sem duplo fator de autenticação, estão cada vez mais populares dentro das empresas.
Vulnerabilidade de Containeres
Do mesmo modo que maquinas virtuais, as imagens do seus containeres possuem vulnerabilidades, por isso a maioria dos containeres registry's ja realizam uma analise estática, afim de identificar vulnerabilidades em algum CVE conhecido.
Politicas de Acesso
É melhor previnir do que remediar, por isso sempre que for publicar sua aplicação em um ambiente Cloud, crie politicas de acesso personalizadas, libere apenas os recursos que sua aplicação realmente irá precisar.
API’s privadas
Quanto mais protegido melhor, por isso o ideal é que suas API's sejam acessíveis somente via rede privada, sendo acessíveis somente via um Gateway de API, criando um ponto único de entrada para o seu cliente final.
Como hoje em dia ataques internos não é algo incomum, muitas empresas estão bloqueando requests via load balancer, portanto uma outra camada de segurança é criada e apenas requisições que passam pelo seu Gateway de API são permitidas.
Padrão de Autenticação
Mesmo hoje em dia, muitas API's não possuem autenticação, ou possuem vários padrões de autenticação, por isso o ideal é que as empresas adotem um padrão único de autenticação para todas as suas API's.
WAF (Web Application Firewall)
Ataques de força bruta, requisições de IP's estranhos, muitas vezes de outros países e de parceiros desconhecidos são comuns ou até mesmo anomalias em parceiros, consumindo muito mais do que foi combinado, podem indisponibilizar seu ambiente ou até mesmo fazer com que ele escale, mas sem que sua empresa tenha um retorno financeiro, por isso o uso de um WAF é indispensável para toda empresa que desenvolve software.
Conclusão
Como disse acima, esse é um pilar cheio de incertezas e o que podemos fazer é atuar em cima de vulnerabilidades conhecidas, por isso os critérios de segurança devem mudar em uma velocidade maior que os demais pilares.
Esse foi o quarto post de uma série, se você ainda não viu os demais clique nos links:
Matriz de Qualidade — Parte 2 — Pilar Design
Matriz de Qualidade — Parte 3 — Pilar Testes
Matriz de Qualidade — Parte 5 — Pilar Operações
Deixe uma interação em nosso post, como é tratado o pilar Segurança no seu dia?
