Os desenvolvedores precisam de acesso a muitos dispositivos e serviços internos para criar software. Mas muitos desses dispositivos e serviços estão expostos à Web pública, criando lacunas na segurança.
Adicione os desafios de garantir o trabalho remoto e fica claro que é necessário um ato de equilíbrio complicado para permitir o desenvolvimento e, ao mesmo tempo, manter o organização segura. Conversamos com Avery Pennarun, CEO e cofundador do serviço VPN Tailscale, para descobrir como isso pode ser alcançado.
BN: Por que a segurança é um problema tão importante para os desenvolvedores?
AP: A maioria das startups é péssima em segurança porque está tentando fazer as coisas rapidamente e, até recentemente, havia uma troca–especialmente para desenvolvedores–entre o caminho fácil e o seguro. O caminho de menor resistência foi criar um ambiente de desenvolvimento na AWS, abrir as portas do firewall e esperar que ninguém o encontrasse. Quantos ex-funcionários ainda têm acesso ao GitHub da sua startup? Quantos desenvolvedores acidentalmente deixam as portas abertas? É como um convite aberto para hackers.
Tailscale tem visto adoção viral por desenvolvedores nos últimos dois anos porque torna a maneira mais fácil para os desenvolvedores operarem também a mais segura. Pela primeira vez, as equipes de segurança e engenharia podem estar na mesma página. Não precisa haver uma compensação.
BN: Esse ponto cego de segurança está se tornando um problema maior devido ao trabalho remoto?
AP: AP: A Shadow IT se tornou onipresente durante a pandemia. A maioria das empresas ainda tem um ponto cego de conectividade porque não havia os mesmos riscos quando todos estavam no escritório juntos.
Se um desenvolvedor quiser compartilhar algo com um colega, não há problema se ambos estivermos em mesmo escritório na mesma rede privada. Mas se nós dois estivermos sentados em casa, não há como fazer isso com segurança. Eu tenho que criar um ambiente de desenvolvimento e abrir portas na nuvem.
Esses tipos de soluções alternativas são a fonte de uma grande quantidade de riscos de segurança. Resolvemos esse problema dando aos desenvolvedores a capacidade de criar redes de pequena escala, com salvaguardas claras sobre o que pode se conectar a quê, por isso é mais seguro permitir que os funcionários usem seus dispositivos pessoais.
BN: Como a implantação de redes privadas menores contribui para a missão maior?
AP: Meus cofundadores e eu passamos décadas no Google, onde construímos produtos para escala global. Mas eis o seguinte: na grande maioria das vezes, suas ferramentas só precisam ser acessíveis a partir de pequenas redes de dispositivos clientes. Na maioria das vezes, você não precisa escrever ou usar software para bilhões de usuários.
Imagine se todas as suas comunicações com seus amigos, familiares e colegas acontecessem no Twitter público. Isso seria loucura, certo? O Twitter certamente tem um propósito, mas para a maioria das suas conversas, você não precisa dele-o bate-papo de seus amigos do WhatsApp ou o Slack da equipe é muito mais adequado para a tarefa e não tem invasores e spammers participando da sua conversa.
No entanto, a forma como usamos a Internet hoje é como confiar no Twitter para todas as comunicações–estamos usando-o para fazer um monte de coisas que não precisamos fazer. Todos os nossos dispositivos se conectam por meio da Internet pública por padrão. Todo aplicativo ou software que envolve interação entre pessoas precisa construir toda essa infraestrutura para gerenciar interações sociais na Internet pública, e os desenvolvedores cometem erros.
Se você diminuir o tamanho da Internet para um pequeno grupo de pessoas em quem você confia, é muito mais fácil escrever software e realizar todo o resto, porque quase todos os invasores simplesmente não estão lá.
Pense em ter um grupo Whatsapp para a maioria das tarefas que você precisam fazer no dia-a-dia-é isso que o Tailscale faz Estamos permitindo que os desenvolvedores compartilhem instantaneamente qualquer ferramenta ou ativo com exatamente o grupo de pessoas com quem você deseja compartilhá-lo, sem a intermediação de um serviço de nuvem complexo e dezenas de aplicativos diferentes (cada um apresentando seus próprios riscos de segurança). E você não precisa criar autenticação e criptografia em cada nova ferramenta.
BN: Desenvolvedores e equipes de segurança sempre tiveram desafios de alinhamento. As redes privadas permitem uma melhor comunicação para criar segurança no início do processo?
AP: Definitivamente. A piada sobre as equipes de segurança é que o trabalho delas é impedir que você faça o seu trabalho. O que é interessante sobre o Tailscale é que torna mais fácil para os desenvolvedores fazerem o que desejam, mas também mais seguro. Então eles estão resolvendo os dois problemas. Agora, a segurança pode ser o herói para fazer algo que não apenas torna a organização mais segura, mas também facilita o trabalho dos desenvolvedores.
De forma mais ampla, acho que veremos uma mudança em direção a uma maior responsabilidade sobre como as organizações configuram sua infraestrutura para minimizar o impacto das violações quando elas acontecem inevitavelmente. Hoje existe uma dinâmica do tipo tudo ou nada–nos concentramos em saber se houve ou não uma violação e, assim que ocorre, as empresas levantam as mãos e dizem:”Opa! Acho que os hackers estão com tudo agora!”e enviar a divulgação obrigatória. Mas o objetivo não deve ser apenas prevenir violações, mas também conter o impacto daquelas que inevitavelmente acontecem apesar dos melhores esforços das pessoas.
As organizações serão julgadas não por terem violações de segurança, mas por quão bem eles segregaram seus sistemas e tomaram precauções para minimizar seu impacto. Os consumidores estão se tornando mais informados sobre isso-só porque os hackers entraram em sua rede não significa que eles deveriam ter acesso aos dados de todos. Essa última parte é embaraçosa e as pessoas estão começando a ver dessa forma.
Crédito da imagem: Lightspring/Shutterstock