AWS re:Inforce 2022: saiba tudo o que rolou no evento sobre cibersegurança da AWS

Neste artigo você vai ver:

Além do re:Invent, a AWS tem uma série de eventos ao longo do ano para levar ao público tendências e novidades sobre as suas soluções. Em julho, foi realizada a AWS re:Inforce 2022, o maior evento sobre cibersegurança da AWS.

E claro, fomos conferir de pertinho a AWS re:Inforce 2022 e trazemos para você os destaques do evento nesse artigo!

Além de mim, estavam no AWS re:Inforce 2022 um grupo do time de SecGov da Zup:

Mas o que é o AWS re:Inforce 2022?

O AWS re:Inforce 2022 é o principal evento da AWS focado em cibersegurança. Ele aborda os mais recentes avanços em soluções de segurança, conformidade, identidade e privacidade da AWS, incluindo práticas que podem ser implementadas sem burocracia, com soluções licenciadas e open source

Além disso, o AWS re:Inforce 2022 tem grande destaque para os palestrantes renomados no mercado de segurança da informação.

Esse evento é anual na cidade de Boston, Massachusetts, nos Estados Unidos. A edição 2022 foi realizada nos dias 26 e 27 de julho. 

O AWS re:Inforce 2022 é indicado para líderes, profissionais de desenvolvimento e especialistas. As palestras são oferecidas para todos os níveis (básico, intermediário e avançado) e todos os tipos de profissionais, do iniciante ao especialista à C-level. 

O público técnico pode interagir diretamente com os expositores da AWS para conhecer as soluções e aplicativos inovadores em serviços, por exemplo:

  • mitigação de incidentes operacionais; 
  • detecção de vulnerabilidades em Infraestrutura como código (IaC);
  • monitoramento da infraestrutura;
  • correção de problemas;
  • e muito mais! 

Tudo isso com a possibilidade de mão na massa, em salas equipadas com laboratórios que permitem essa interação com as ferramentas. 

Assista ao Keynote do AWS re:Inforce 2022 onde foi discutido as últimas inovações em segurança na nuvem da AWS e como promover uma cultura de segurança em seus negócios. 

Nesse keynote você vai ver especialistas, como: 

  • Amazon Chief Security Officer, Stephen Schmidt; 
  • AWS Vice President and Chief Information Security Officer, CJ Moses; 
  • Vice President of AWS Platform, Kurt Kufeld; 
  • MongoDB Chief Information Security Officer, Lena Smart. 

Além disso, outros vídeos podem ser encontrados no canal no YouTube da AWS para cobertura de seus eventos.

Destaques do AWS re:Inforce 2022

A seguir, trago os meus destaques do AWS re:Inforce 2022.

DevSecOps em template

Como destaque do evento, vou citar a palestra Simplify DevSecOps with self-serve template (SEC391). O contexto é todo orientado para solução de uma aplicação a partir de práticas muito simples e de fácil implementação de IaC.

O modelo é baseado na aplicação da segurança o mais cedo possível dentro de um projeto, ou seja, aquela prática que sempre ouvimos falar, mas que nunca conseguimos implementar: Security Shift Left (SSL). 

Ouvi nesse evento que o SSL foi deixado de lado e substituído por “Early Sec” ou Segurança o mais cedo possível. A dificuldade é justamente que a engenharia de desenvolvimento de sistemas quase nunca se preocupa com aspectos não funcionais dentro do catálogo de disciplinas. 

Desta forma, as organizações precisam se esforçar para criar uma “cultura sec” nos times de engenharia, engajados por programas de disseminação e capacitação. Um bom exemplo desse tipo de prática é o programa Security Champions (aqui na Zup temos esse programa e atualmente já formamos mais de 40 pessoas).

A palestra reforçou a visão que tinha sobre o quanto é comum as grandes empresas de tecnologia se depararem com essa mesma dificuldade dentro dos times, ou seja, não estamos falando de um assunto isolado que dependa apenas de ‘boa vontade’. É um assunto estrutural.

Percebi que a AWS apoia a construção desta estrutura em soluções para quem já adotou a plataforma cloud. Para os ainda indecisos, vale a pena buscar por esse conteúdo e analisar o quanto pode trazer de resultados no seu modelo DevSecOps.

AWS Proton

A solução da AWS Proton, oferece um serviço automatizado com provisionamento de código e implantação de aplicativos serverless, baseados em contêiner.

David Killmon, SDE Sênior do AWS Proton, destacou a possibilidade do AWS Proton identificar todas as instâncias de serviço existentes que estão usando uma versão desatualizada e, com apenas um clique, o Admin pode fazer a atualização sem nenhum impacto no código. 

Outra facilidade é criar implantações integradas com pipelines CI/CD, um grande atrativo para reduzir o esforço do time de SRE e profissionais de arquitetura que gastam horas nessas atividades rotineiramente. 

O que o AWS Proton faz é provisionar automaticamente os recursos, configura o pipeline de CI/CD e implanta o código na infraestrutura definida. Os inputs iniciais são feitos pelo time de plataforma ou SRE, que seleciona um template de serviço que atenda o produto. 

Em outras palavras, o SRE só precisa selecionar um template padrão de ambiente que o AWS Proton cria um serviço que implanta e gerencia a aplicação em uma instância de serviço. Este serviço AWS Proton é uma instância do template de serviços que provisiona várias instâncias e um pipeline.

Funciona assim:

SRE

  • Define a parametrização do IaC para profissionais de desenvolvimento usarem;
  • Gerencia a versão, manutenção e updates do IaC;
  • Garante aos desenvolvedores manter versões atualizadas;
  • Gerencia os ambientes de deploy.

Profissional de desenvolvimento

  • Construir e liberar aplicações utilizando os templates de serviços;
  • Adicionar componentes nos templates.

O diagrama abaixo representa a visão do fluxo de trabalho do AWS Proton:

Diagrama da visão de fluxo de trabalho que começa com Administrators, Environment templates, Environments, Service Template, Developers, Pipeline e Service instances.
Fonte: What is AWS Proton?
  1. SRE seleciona o template do ambiente;
  2. Template cria o ambiente desejado;
  3. SRE seleciona o template do serviço para ativar o console do Gerenciador AWS Proton;
  4. Profissionais de desenvolvimento incluem o código fonte da aplicação;
  5. Código fonte acessar a pipeline CI criada pelo serviço AWS Proton;
  6. A aplicação é distribuída em microsserviços instanciados, antes de serem liberados no ambiente que representa o template da infraestrutura definida no início.

Sinergia com o que fazemos na Zup

De olho no DevSecOps, observei que a visão da AWS é bastante similar ao que venho criando dentro do time AppSec, ou seja, as diretrizes entorno do ciclo de desenvolvimento estabelecem um processo intenso de controle, monitoramento e gerenciamento, com uso de uma ou mais soluções ao longo da cadeia.

Este é o meu entregável mais valioso, orquestrar de forma dinâmica as ferramentas de automação com a solução Reusable Workflow, tema para um próximo artigo.

Sasi Nagireddy, Arquiteto de Solução AWS, mencionou que a segurança no pipeline se caracteriza como fundamental. Ressaltou que em seu ponto de vista, acaba sendo premissa a abordagem que inclui um padrão de verificação no momento do deploy.

Recomendou o gerenciamento automático como um grande aliado para apoiar na decisão de liberação de aplicação em produção. E para isso, são muitas opções de soluções disponíveis no mercado para clientes que já utilizam AWS.

E ouvir isso logo após assistir a demonstração do AWS Proton é como dar uma injeção de otimismo para quem está começando a trilhar essa trajetória e que precisa muito de informações que fazem sentido para multiplicar o conhecimento e engajar devs, TLs e afins.

Proposta de Pipeline de Segurança

Para fechar esse registro, essa palestra ilustrou muito bem o que isso representa e o nível de práticas necessárias em SLDC.

Foto de um slide apresentado durante o evento, nele está escrito "DevSecOps: Considerations for successful implementation".
  1. Proteja informações sensíveis
    1. Mantenha senha e chaves fora do código (‘hardcodado’)
  2. Análise de Software Composition (SCA)
    1. Revisão dos componentes/bibliotecas
    2. Valide o reuso de código previamente, aprovando ou reprovando
  3. Análise da Aplicação Estática (SAST)
    1. Revisão do código estático para vulnerabilidades
  4. Análise da Aplicação Dinâmica (DAST)
    1. Análise do código em funcionamento/dinamicamente para identificar vulnerabilidades.
  5. Análise integrada da aplicação
    1. Baseado em agente com análise em real time
  6. Runtime de autoproteção na aplicação
    1. Baseado em agentes, faz a remediação de eventos de segurança em real time

Conclusão

O re:Inforce AWS 22 me trouxe a certeza que estamos no caminho certo e temos condições de apropriar nossos códigos a todas essas diretrizes de segurança.

O evento me motivou positivamente no sentido que, aqui na Zup temos oportunidade de explorar as opções da AWS, que é maioria atualmente nos nossos ambientes, e ter abertura para oferecer a adoção de uma solução robusta e amplamente confiável, além de adaptável sem grandes esforços. Inclusive trazendo o AWS Proton como indicação ao Reusable Workflow, no uso do AWS Code Pipeline. 

Espero que esse artigo faça a diferença nos seus conhecimentos sobre segurança da informação e cloud. Com certeza, muitas novidades ainda virão.

Ficou com alguma dúvida ou tem alguma sugestão? Então comenta aqui embaixo!

Capa do artigo sobre AWS re:Inforce. Nela, aparece o nome do evento com um fundo azul.
daniela-aggio
Tech Lead AppSec
Amplo conhecimento em TI, sendo mais de 20 anos no segmento Bancário e Financeiro, atuando em várias frentes como Desenvolvimento de Software, Metodologia ágil, DEVOPs, Infra Cloud, Central de Serviços, Segurança da Informação, Gestão de Controles Internos e Risco Operacional e Gestão de Projetos e Programas.

Artigos relacionados

Este site utiliza cookies para proporcionar uma experiência de navegação melhor. Consulte nossa Política de Privacidade.