Um bate-papo com os copresidentes da CloudNativeSecurityCon North America 2024

CloudNativeSecurityCon North America está de volta para mais um ano em Seattle, depois de se ramificar no ano passado de um evento co-localizado KubeCon + CloudNativeCon. O evento acontecerá durante dois dias, de 26 a 27 de junho, com eventos complementares em 25 de junho, incluindo o OTel Community Day e o Secure AI Summit.

A programação compreende 75 sessões que oferecem soluções práticas e discussões ponderadas sobre alguns dos tópicos mais urgentes em segurança, distribuídas em oito módulos. As sessões cobrirão segurança de rede, preparação para IA, observabilidade, cadeias de suprimentos, segurança de aplicativos e muito mais. Os participantes também aprenderão com uma dúzia de palestras durante os dois dias, cinco palestras relâmpago, participarão da experiência Capture the Flag e percorrerão o Solutions Showcase.

A segurança no ecossistema nativo da nuvem é profundamente complexa. Embora essas ferramentas forneçam desenvolvimento e implantação rápidos, há mais bordas e nós expostos, maiores superfícies de ataque e, em última análise, perda de controle. Indivíduos de todos os níveis devem permanecer à frente da curva, educando-se sobre tópicos como modelagem de ameaças multifacetadas, dimensionamento de IA com segurança, criptografia resistente a quantum e como mitigar vulnerabilidades de OSS.

Conversamos sobre o evento com os copresidentes deste ano: Cailyn Edwards, engenheira sênior de segurança da Auth0 by Okta; Marina Moore, Ph.D. candidato na Universidade de Nova York, copresidente do Grupo Consultivo Técnico de Segurança da Cloud Native Computing Foundation e mantenedor do TUF (The Update Framework), in-toto, Uptane e SBOMit; e Rey Lejano, arquiteto de soluções da Red Hat. Eles compartilharam suas ideias sobre as últimas tendências e desafios em segurança nativa da nuvem e as sessões que mais aguardam.

P: Quais são algumas das maiores tendências que você está vendo na segurança nativa da nuvem?

Cailyn Edwards: Há anos, a segurança da cadeia de suprimentos tem sido a coisa mais legal do mercado e, embora eu pessoalmente tenha pensado que poderíamos ver isso sendo deixado de lado pela IA, esse não parece ser o caso. No entanto, notei uma mudança no que estamos falando no domínio da segurança da cadeia de suprimentos – falamos menos sobre SBOMs e rastreamento de dependências e mais sobre contêineres mínimos. Acho que as pessoas perceberam que a chave para o rastreamento de dependências gerenciável é voltar a focar em imagens reduzidas, infraestrutura imutável e ser intencional e seletivo sobre quais dependências introduzimos em nosso software.

Marina Moore: Uma tendência importante é a aplicação das melhores práticas de segurança a projetos emergentes de IA. À medida que o campo da IA ​​amadurece, vemos muito interesse em proteger a IA, especialmente a cadeia de fornecimento de IA, que está ligada a outra tendência contínua de segurança da cadeia de fornecimento de software. Tem sido ótimo ver o foco dessa tendência mudar ao longo do tempo. Alguns dos grandes tópicos sobre os quais estou ouvindo agora são atestados e políticas da cadeia de fornecimento de software.

Rey Lejano: A cadeia de suprimentos de software tem sido um tema popular há alguns anos e continua sendo. IA é o tópico de tecnologia mais quente deste ano, e incluímos uma nova faixa intitulada “Aproveitando + Preparando-se para IA em Segurança na Nuvem”. Estou super animado com as palestras da nova faixa.

P: Quais você acha que são os maiores desafios que a comunidade precisa superar?

Eduardo: Com o mercado um pouco menos sólido nos últimos anos, acho que estamos vendo menos apoio aos funcionários que passam tempo contribuindo e trabalhando com projetos de código aberto. Acho que precisamos lembrar a importância deste trabalho para evitar que a comunidade se esgote. Os profissionais de segurança são os mais invisíveis quando estão fazendo o seu melhor trabalho, e já vi empresas cometerem o erro de retirar recursos da segurança porque veem que tudo está indo bem. Mas o campo está em constante evolução e manter o software seguro é uma tarefa sem fim. A comunidade de segurança de código aberto impulsiona todo o setor e nos permite permanecer na vanguarda. Acho que veremos alguns incidentes graves nos próximos anos devido à falta de investimento em segurança.

Lejano: O maior desafio para a comunidade é a necessidade das organizações apoiarem seus funcionários na contribuição para projetos de código aberto. Entendo que não estaríamos aqui sem organizações que patrocinam projetos e conferências, mas os projetos precisam de mais contribuidores. Colaboradores de diversas empresas e com diversas origens tornam os projetos melhores.

P: Qual é o benefício da tecnologia nativa da nuvem quando se trata de segurança?

Eduardo: Está repleto de perspectivas variadas e movido por puro interesse e paixão. Aqueles de nós que passam tempo trabalhando com a comunidade nativa da nuvem fazem isso porque realmente nos preocupamos com isso e queremos garantir que as ferramentas nativas da nuvem sejam seguras e confiáveis. A comunidade está cheia de pessoas incrivelmente talentosas de diversas origens e experiências. Esse conhecimento partilhado significa que todo o ecossistema pode trabalhar em conjunto para enfrentar os grandes vilões cibernéticos.

Moura: Os projetos CNCF e quaisquer tecnologias construídas abertamente têm mais pessoas capazes de revisar o código e, portanto, mais chances de que bugs de segurança sejam detectados antes que possam ser explorados. Há também uma grande comunidade que foi criada para oferecer suporte à segurança nativa da nuvem. A TAG Security fornece orientação para projetos CNCF e white papers que podem ser usados ​​por qualquer pessoa na comunidade.

Lejano: Vimos os benefícios da tecnologia nativa da nuvem se expandirem além da nuvem (pública) e vimos a tecnologia nativa da nuvem e metodologias associadas, como infraestrutura como código e GitOps, usadas em data centers e na borda. A mesma tecnologia e princípios são aplicados à segurança, como a Política como Código com GitOps, onde existem proteções para infraestrutura e aplicativos após a implantação. Projetos nativos da nuvem facilitam o DevSecOps — uma organização pode usar vários projetos CNCF para que os pipelines possam incluir geração de SBOM, assinatura de artefatos, digitalização de imagens e muito mais.

P: Há algum projeto de segurança de código aberto atualmente hospedado pela CNCF que você esteja de olho?

Eduardo: Um dos grandes motivos pelos quais entrei recentemente na Okta foi o trabalho que eles estão fazendo com o OpenFGA. Acho que há muitas melhorias a serem feitas no espaço IAM (gerenciamento de identidade e acesso) no momento, e a autorização refinada é um passo incrível na direção certa!

Moura: Estou entusiasmado com o trabalho de certificação que está acontecendo no projeto in-toto. in-toto é uma estrutura para integridade da cadeia de suprimentos que tem sido usada por SLSA (Níveis da cadeia de suprimentos para artefatos de software), Tekton, GUAC (Graph for Understanding Artifact Composition) e outros para criar e verificar atestados.

Lejano: Estou de olho no projeto Confidential Containers há alguns anos e nos avanços no uso de ambientes de execução confiáveis ​​para proteger contêineres, especialmente em nuvens públicas. A segurança do tempo de execução é extremamente importante e às vezes esquecida, então Tetragon é um projeto CNCF baseado em eBPF para aplicação e observabilidade do tempo de execução.

P: CloudNativeSecurityCon está chegando e você é copresidente! Que palestras deixaram você realmente animado com o evento?

Eduardo: Estou muito animado com todas as palestras. Tivemos tantos envios incríveis. Será uma ótima escalação! Um que estou particularmente ansioso é “Avengers Assemble: Threat Modeling Kubernetes Clusters at a Massive Scale”, de Sai Charan Teja Gopaluni e Jamal Arif da Amazon Web Services. Adoro uma boa palestra sobre modelos de ameaças e é sempre interessante ouvir sobre aplicações em larga escala e como avaliar riscos potenciais. Outro que acho incrível é “IAM Confused: Decoding 8 Real World Cloud Identity Breaches”, de Maya Levine da Sysdig. Como disse antes, acho que ainda há muito a aprender e fazer com o IAM, e sempre fico impressionado com palestras que usam exemplos do mundo real.

Moura: Temos uma ótima programação de palestras este ano. Alguns dos que me entusiasmam são “Sigstore: direções passadas, presentes e futuras” e “Aumente o nível de sua carreira em segurança com a comunidade de segurança TAG”.

Lejano: Estou muito animado com um tutorial com Duffie Cooley intitulado “Navegando nos mares de segurança com o Tetragon”. A segurança do tempo de execução é frequentemente negligenciada, e este é um tutorial prático usando o Tetragon baseado em eBPF para aplicação e observabilidade do tempo de execução.

Dê uma olhada na programação da CloudNativeSecurityCon North America 2024 e inscreva-se hoje!

A postagem Um bate-papo com os copresidentes da CloudNativeSecurityCon North America 2024 apareceu pela primeira vez em The New Stack.