AWS Enterprise CloudNative Security: Pipeline DevSecOps CI/CD Modulari con Terraform = AWS Enterprise CloudNative Security: Modular DevSecOps CI/CD Pipelines using Terraform

Con il proliferare dei rilasci software da parte degli sviluppatori e l'incremento progressivo degli attacchi informatici, le organizzazioni sono chiamate a gestire il tema della sicurezza in modo proattivo ed integrato nel processo di sviluppo, in modo da limitare i costi derivanti da potenziali violazioni, garantendo una più elevata qualità e robustezza del software nonché una maggiore resilienza contro minacce sempre più sofisticate. DevSecOps, abbreviazione di Development, Security, e Operations, rappresenta la naturale evoluzione, dal punto di vista della sicurezza, del concetto di DevOps e si propone come risposta proattiva per garantire che la sicurezza venga integrata “by design” durante tutto il ciclo di sviluppo del software. Considerando anche la crescente migrazione delle organizzazioni verso piattaforme Cloud per i rilasci dei propri applicativi, si inquadra questo lavoro di Tesi, svolto in collaborazione con Storm Reply, il cui obiettivo è la definizione e realizzazione di due pipeline di Continuous Integration/Continuous Deployment (CI/CD) in ottica DevSecOps in ambiente Cloud Amazon Web Services (AWS) che permettano, in maniera automatizzata, l'identificazione di vulnerabilità e criticità a monte nel codice sorgente, diminuendo il tempo di notifica agli sviluppatori e relativa correzione garantendo cicli di sviluppo brevi e frequenti nel rispetto delle logiche di time-to-market del contesto enterprise, permettendo di presentare e rilasciare soluzioni applicative robuste e sicure. Dopo un’analisi preliminare di AWS, sono stati censiti i blocchi costitutivi di una pipeline DevSecOps per il rilascio di codice applicativo, e, su un sottoinsieme di questi, mediante il processo di Continual Improvement, sono stati valutati strumenti a supporto dell’individuazione di vulnerabilità, soggetti poi a Proof Of Concept e matrice decisionale ponderata per individuare il più adatto alle esigenze di una pipeline di rilascio su Cloud AWS. Definite le tecnologie, mediante Terraform, framework di Infrastructure as Code (IaC), sono stati poi definiti ed implementati due moduli per la CI/CD con stages di analisi di sicurezza personalizzabili e supporto multi-environment in base al caso d’uso: il primo progettato per adattarsi al caso d’uso di architetture monolitiche, mentre il secondo orientato verso architetture a microservizi. Al termine di questa fase è stata condotta un’analisi mirata alla raccolta di risultati in termini di vantaggio economico, sicurezza e velocità nella rilevazione. Quest'ultimi sono stati ottenuti analizzando i costi del mantenimento delle pipeline, che si dimostrano altamente sostenibili se confrontati con i costi delle infrastrutture a supporto di un applicativo, garantendo al contempo un’elevata velocità nella rilevazione, ottenuta osservando, su dei repositories di test, il tempo addizionale aggiunto dai blocchi di sicurezza aggiuntivi rispetto ad una pipeline DevOps tradizionale con un’elevata precisione ed un basso tasso di falsi positivi, conclusa infine con lo studio di uno use case per il costo di identificazione e contenimento di una violazione di dati, dimostrando il vantaggio economico derivante dall’utilizzo di una soluzione come quella proposta.