Segurança

Os desenvolvedores que trabalham em projetos devem aderir às práticas padrão recomendadas pela indústria para o design seguro e implementação de código. Para os nossos clientes, isso significa que nossos engenheiros devem entender os 10 Principais Riscos de Segurança de Aplicações Web da OWASP, bem como como mitigar o máximo possível deles, usando os recursos abaixo.

Se você está procurando uma maneira rápida de começar a avaliar sua aplicação ou design, confira o documento “Referência Rápida de Práticas de Codificação Segura” abaixo, que contém uma lista de verificação detalhada de conceitos de alto nível que você pode verificar se estão sendo feitos corretamente. Esta lista cobre muitos erros comuns associados à lista dos 10 Principais Riscos da OWASP mencionada acima e deve representar o esforço mínimo em termos de segurança.

Solicitação de Revisões de Segurança

Ao solicitar uma revisão de segurança para sua aplicação, certifique-se de ter se familiarizado com as Regras de Engajamento. Isso o ajudará a preparar a aplicação para o teste, bem como entender os limites de escopo do teste.

Referências Rápidas

• Referência Rápida de Práticas de Codificação Segura
• Referência Rápida de Segurança de Aplicações Web
• Mentalidade de Segurança/Criando um Programa de Segurança Inicial Rápido
• Varredura de Credenciais / Detecção de Segredos
• Modelagem de Ameaças

Segurança no Azure DevOps

• Práticas de Engenharia de Segurança DevSecOps
• Visão Geral da Proteção de Dados no Azure DevOps
• Segurança e Identidade no Azure DevOps
• Análise de Código de Segurança

DevSecOps

Introduza a segurança ao seu projeto desde as fases iniciais. A seção DevSecOps aborda práticas de segurança, automação, ferramentas e estruturas como parte da integração contínua da aplicação.

Folhas de Resumo da OWASP

Observação: a OWASP é considerada o padrão-ouro em informações de segurança de computadores. A OWASP mantém uma extensa série de folhas de resumo que cobrem todos os 10 Principais Riscos da OWASP e mais. Abaixo, muitas das folhas de resumo mais relevantes foram resumidas. Para ver todas as folhas de resumo, confira o Índice de Folhas de Resumo.

• Noções Básicas de Controle de Acesso
• Análise de Superfície de Ataque
• Política de Segurança de Conteúdo (CSP)
• Prevenção de Falsificação de Solicitação entre Sites (CSRF)
• Prevenção de Script entre Sites (XSS)
• Armazenamento Criptográfico
• Serialização
• Segurança do Docker/Kubernetes (k8s)
• Validação de Entrada
• Gerenciamento de Chaves
• Defesa contra Injeção de Comando no Sistema Operacional
• Exemplos de Parametrização de Consulta
• Prevenção de Solicitação de Servidor do Lado do Cliente
• Prevenção de Injeção SQL
• Redirecionamentos e Encaminhamentos não Validados
• Segurança de Serviços Web
• Segurança XML

Ferramentas Recomendadas

Confira a lista de ferramentas para ajudar a habilitar a segurança em seus projetos.

Observação: Embora algumas ferramentas sejam agnósticas, a lista abaixo se concentra na segurança nativa em nuvem, com foco em Kubernetes.

• Verificação de Vulnerabilidades

  • SonarCloud
    • Integra-se ao Azure Devops com o clique de um botão.
  • Snyk
  • Trivy
  • Cloudsploit
  • Anchore
  • Outras ferramentas da OWASP
  • Veja por que você deve verificar vulnerabilidades em todas as camadas da pilha, bem como algumas dicas úteis adicionais para reduzir a superfície de ataque.

• Segurança em Tempo de Execução

  • Falco
  • Tracee
  • Kubelinter
    • Pode não se qualificar totalmente como segurança em tempo de execução, mas ajuda a garantir que você esteja habilitando as melhores práticas.

• Autorização Binária

  A autorização binária pode ocorrer tanto na camada do registro Docker quanto em tempo de execução (ou seja, por meio de um controlador de admissão K8s). A verificação de autorização garante que a imagem seja assinada por uma autoridade confiável. Isso pode ocorrer tanto para imagens de terceiros (pré-aprovadas) quanto para imagens internas. Levando isso adiante, a assinatura deve ocorrer apenas em imagens em que todo o código foi revisado e aprovado. A autorização binária pode reduzir o impacto de danos causados por um ambiente de hospedagem comprometido e o dano causado por insiders maliciosos.

  • Harbor
    • Operador disponível
  • Portieris
  • Notary
    • Observação: o Harbor utiliza internamente o Notary.
  • TUF

• Outra Segurança do K8s

  • OPA, Gatekeeper e Biblioteca Gatekeeper
  • cert-manager para fornecimento automático e rotação de certificados.
  • Habilite rapidamente o mTLS entre seus microserviços com o Linkerd.

Links Úteis

• Orientações sobre Requisitos Não Funcionais