Como o Netflix gerencia a segurança na era do DevOps
Na Netflix, os engenheiros de software escrevem milhares de código por dia. Para manter esse ritmo, a empresa de streaming de mídia usa uma metodologia de desenvolvimento de software que promove estreita colaboração entre engenheiros e implantação de produtos, chamada DevOps.
É um ritmo de desenvolvimento que não é recomendado para os fracos de coração, especialmente quando se trata de segurança. A Netflix tem mais de 62 milhões de assinantes em todo o mundo para proteger e a maioria dos profissionais de segurança vê DevOps como uma grande ameaça, disse ao jornal The Wall Street Journal, Gene Kim coautor de um livro sobre o assunto chamado O Projeto Phoenix. Mas empresas como a Netflix estão usando automação e outras abordagens para mitigar riscos potenciais à segurança, mas mantendo a velocidade.
É um problema que Jason Chan teve de lutar quando começou a trabalhar na Netflix em abril de 2011 como arquiteto de segurança em nuvem. Na época, o ambiente de TI estava começando a ficar muito grande e a empresa crescendo rapidamente.
Segundo ele, a única forma realista de manter a segurança em um ambiente que crescia tão rapidamente e muda tão rapidamente, era torná-lo automatizado, afirmou Chan, que agora é diretor de engenharia de segurança na nuvem da empresa.
A companhia agregou desde então uma variedade de ferramentas de segurança, como Security Monkey, Scumblr e uma operação integrada de defesa, que automatiza a localização de contas comprometidas e incidentes de segurança.
O Security Monkey é um plataforma que o Netflix construiu e tornou open source em junho de 2014, que olha internamente as configurações de segurança. Os sistemas da NetFlix operam na infraestrutura Amazon Web Services (AWS) e a ferramenta monitora continuamente e segue as configurações de segurança da AWS. Ele tem um sistema de regras que avisa a companhia sobre quando as coisas mudam e alguém precisa de olhar para ele.
Com essa abordagem integrada, baseada nos três pilares, a empresa conseguiu aprimorar a segurança e ainda promover rápido desenvolvimento de tecnologias, em linha com as exigências do mercado.