• Chi siamo
  • Sala stampa
  • Carriera
  • Diventare partner
  • Ricerca
Calcolo
Risorse di calcolo scalabili e ad alte prestazioni per i vostri carichi di lavoro critici. Orchestrate le vostre applicazioni cloud-native con le nostre moderne soluzioni container.
Scoprite l'offerta di calcolo
Macchine virtuali
Istanze VM
Una soluzione di macchine virtuali on-demand, flessibile e sicura su un'infrastruttura condivisa.
Server dedicati
IaaS open source
Infrastruttura virtualizzata open source in un ambiente cloud qualificato SecNumCloud per una completa sovranità tecnologica.
VMWare IaaS
Le vostre macchine virtuali VMware in un ambiente cloud affidabile qualificato SecNumCloud e certificato HDS.
Metallo nudo
Server dedicati e completamente personalizzabili per una totale autonomia sulla vostra infrastruttura sovrana.
Contenitori
Openshift PaaS
La piattaforma unificata per creare, modernizzare e distribuire le vostre applicazioni su larga scala in un cloud sovrano.
Kubernetes gestito
Soluzione di orchestrazione dei container gestita che offre sicurezza, resilienza e automazione avanzata su infrastrutture sovrane.
Immagazzinamento
Soluzioni di storage adattabili e ad alte prestazioni per tutte le vostre esigenze. Ottimizzate i vostri dati con le nostre soluzioni a blocchi e a oggetti altamente disponibili.
Scoprite la nostra offerta di stoccaggio
Immagazzinamento
Archiviazione a blocchi
La soluzione di storage a blocchi adattabile per prestazioni di storage ottimali in un cloud sovrano.
Object storage
La soluzione di archiviazione scalabile e conveniente per i vostri dati non strutturati in un cloud sovrano.
Backup
Soluzioni di backup
Soluzioni di backup differenziate e adatte alle vostre sfide e ai vostri ambienti
Rete
Soluzioni di rete avanzate per connettere e proteggere le vostre infrastrutture. Implementate le vostre reti private in modo automatico e sicuro.
Scoprire l'offerta della rete
Rete
Cloud virtuale privato
Implementate e gestite le vostre reti private 100% in modo automatico e sicuro.
Backbone privato
Assumete il pieno controllo della vostra rete con una connettività Layer 2 estesa, progettata per architetture ibride e configurazioni personalizzate.
Firewall
Firewall gestito
Soluzioni di sicurezza avanzate per un isolamento completo e una maggiore protezione
Sistemazione a secco
Alloggi - Spazio dedicato
Hosting sicuro per le vostre apparecchiature in un ambiente dedicato o condiviso, a seconda delle vostre esigenze.
Sicurezza
Soluzioni di sicurezza avanzate per proteggere le vostre infrastrutture critiche. Controllate l'accesso e difendetevi dalle minacce online.
Scopri l'offerta Sicurezza
Sicurezza
Anti DDoS
Lo scudo contro gli attacchi online
Bastione
Controllo degli accessi trasparente e centralizzato per una solida protezione della vostra infrastruttura
KMS gestito
Gestione sovrana delle chiavi crittografiche, con HSM hardware root of trust, per proteggere i vostri dati più sensibili sull'infrastruttura SecNumCloud.
SIEM gestito
Una piattaforma centralizzata per la raccolta e la correlazione dei log di sicurezza, che combina l'automazione basata sull'intelligenza artificiale e le regole di rilevamento avanzate (MITRE ATT&CK).
IA
Soluzioni di intelligenza artificiale per trasformare i dati in approfondimenti e accelerare i processi aziendali.
Scoprite l'offerta IA
IA
LLMaaS
Accesso a modelli linguistici all'avanguardia su un'infrastruttura sovrana, qualificata SecNumCloud e certificata HDS, per applicazioni AI sicure e ad alte prestazioni.
GPU
Istanze di GPU NVIDIA per accelerare l'intelligenza artificiale e il calcolo ad alte prestazioni in un cloud sovrano.
Dati
Soluzioni dati per gestire, analizzare e sfruttare i vostri dati critici.
Scoprire l'offerta di dati
Banche dati
MariaDB gestito
Un database relazionale MariaDB completamente gestito e un backup PITR su infrastruttura sovrana SecNumCloud.
Gestiti PostGreSQL
La soluzione di database relazionale completamente gestita su infrastruttura sovrana SecNumCloud
Grandi dati
Kafka gestito
La piattaforma distribuita open-source per lo streaming di dati in tempo reale
File System gestito
Un file system distribuito gestito, sovrano e ad alta disponibilità, accessibile tramite NFS e SMB sull'infrastruttura SecNumCloud.
Gestione e governance
Servizi di coaching e assistenza per aiutarvi nella vostra trasformazione in cloud.
Scopri i nostri servizi di assistenza
Supporto
Livelli di supporto
Scoprite i 3 livelli di assistenza disponibili per aiutarvi ad affrontare le vostre sfide.
Servizi professionali
Dalla progettazione all'ottimizzazione, Cloud Temple è al vostro fianco in ogni fase del percorso.
La governance
Console - API - Provider Terraform
Un'unica interfaccia per visualizzare e gestire i vostri prodotti e servizi
Osservabilità
Metriche infrastrutturali disponibili negli standard di mercato
Chi siamo
L'azienda
Chi siamo?
Team di gestione
Luoghi
Impegni di RSI
Settori
Settore pubblico
Salute
Settore finanziario
Industria
Il nostro approccio
Le nostre procedure di conformità
Il nostro approccio SecNumCloud
IA affidabile
Interoperabilità e ibridazione
Trasparenza nel trattamento dei dati sanitari
Sala stampa
La rivista
Eventi e webinar
Comunicati stampa
Nei media
Database documentario
Carriera
Lavorare in Cloud Temple
Unisciti a noi
Diventare partner
Editori
Fornitori di servizi gestiti
FR AT DA IT
Contatto
La rivista > DevSecOps - Introdurre la sicurezza nello sviluppo

Le innovazioni tecnologiche degli ultimi anni, in particolare la possibilità di distribuire infrastrutture nel cloud in tempi molto rapidi, hanno evidenziato i limiti dei tradizionali metodi di sviluppo software a cascata, basati su una successione sequenziale di fasi predefinite.

Ciò ha portato all'emergere di metodi agili e della cultura DevOps, caratterizzata da cicli di produzione più brevi, dall'automazione e dall'attenuazione della storica divisione tra team di sviluppo (Devs) e amministratori dell'infrastruttura (Ops), riassunta dal famoso motto di Werner Vogels, CTO di AWS, "you build it, you run it".

Le aziende che hanno adottato con successo questo cambiamento culturale sono riuscite a ridurre in modo significativo il loro "time to market", distribuendo i loro prodotti software con una velocità prima impensabile.

Tuttavia, questa maggiore velocità ha introdotto nuove sfide per la sicurezza delle applicazioni: come si possono evitare le vulnerabilità pur garantendo diverse implementazioni a settimana o addirittura al giorno?

Riteniamo che il recente approccio DevSecOps sia il modo giusto per soddisfare questo requisito.

Ecco le 3 aree che riteniamo più importanti:

Spostare la sicurezza a sinistra

È universalmente riconosciuto che lo sforzo di proteggere un'applicazione a posteriori è estremamente più costoso dell'integrazione dei requisiti di sicurezza fin dall'inizio. Non si discute quindi sulla necessità di integrare la sicurezza fin dall'inizio (a sinistra dell'asse del tempo), ma come si procede in pratica?

Inserire un esperto di sicurezza in ogni team di sviluppo è costoso e non facile. scalabile. D'altro canto, il team di sicurezza (quando c'è!) può essere troppo avverso al rischio e abusare del suo potere di veto, causando ritardi ingiustificati nell'implementazione.

DevSecOps offre queste pratiche:

  • Formare i codificatori allo sviluppo sicuro, ad esempio attingendo alla ricchezza del materiale reso disponibile dall'Open Web Application Security Project (OWASP);
  • Facilitare la comunicazione tra Devs, Ops e Security, ad esempio attraverso sessioni di condivisione delle informazioni, conferenze e workshop collaborativi;
  • Promuovere la sicurezza come stato d'animo e valore aziendale.

Automatizzare i controlli di sicurezza

I controlli di sicurezza devono essere implementati durante tutto il ciclo di vita del codice, in altre parole nella pipeline di integrazione e consegna continua. Il panel di test automatici deve essere arricchito da test relativi alla sicurezza, idealmente integrando strumenti di analisi statica e dinamica del codice. Recentemente è emerso il termine Test Driven Security (TDS), ispirato al più noto Test Driven Development (TDD).

Il rischio in questa fase è che i falsi positivi si moltiplichino; è molto importante controllare il numero di falsi positivi attraverso la messa a punto, in modo da non ritardare erroneamente le consegne... la velocità di consegna è la forza della guerra!

La generazione di metriche relative alla sicurezza va di pari passo con questo sforzo di automazione e fornisce i KPI essenziali per la comunicazione con i manager aziendali.

Nominare i campioni della sicurezza

Come già detto, non è possibile inserire esperti di sicurezza in ogni team di sviluppo: l'approccio raccomandato da DevSecOps consiste nel promuovere campioni di sicurezza tra i membri dei team Dev e Ops. Questi "campioni" devono diventare la staffetta del team Sicurezza, attraverso un processo di sensibilizzazione e formazione.

Le loro responsabilità possono includere quanto segue:

  • Decidere quando chiedere la consulenza di un esperto in materia di sicurezza
  • Conduzione di revisioni del codice (Dev) e verifiche della configurazione (Ops)
  • Coordinare la modellazione delle minacce
  • Sensibilizzare i colleghi alle buone pratiche di sicurezza

È importante sottolineare che queste nuove pratiche di sicurezza non eliminano l'importanza di eseguire regolarmente test di intrusione delle applicazioni e di dotarsi di un sistema di analisi e correlazione dei log (SIEM), idealmente gestito da un Centro operativo di sicurezza (SOC).

Da Giuliano IPPOLITI (CISO e direttore per la Francia occidentale di Cloud Temple)

Categorie
Sicurezza informatica e conformità
La rivista
Politica sui cookie

Utilizziamo i cookie per offrirvi la migliore esperienza possibile sul nostro sito, ma non raccogliamo alcun dato personale.

I servizi di misurazione dell'audience, necessari per il funzionamento e il miglioramento del nostro sito, non consentono di identificarvi personalmente. Tuttavia, avete la possibilità di opporvi al loro utilizzo.

Per ulteriori informazioni, consultare il nostro Informativa sulla privacy.

Autorizzare Rifiuto