L'elasticità del cloud attira e fa crescere l'attenzione verso il modello DevOps. Ma è importante integrarlo con una security "nativa" in logica DevSecOps
La diffusione delle tecnologie basate sul mondo
container cresce in modo continuo di pari passo con la trasformazione digitale delle aziende e l’adozione di ambienti sempre più distribuiti con architetture ibride e multi-cloud. Le motivazioni che hanno portato a una adozione sempre più diffusa dei container sono sicuramente molto valide:
i container accelerano la distribuzione delle applicazioni e facilitano la collaborazione dei team, senza creare ostacoli in presenza di ambienti di deployment diversi.
Quale approccio moderno allo sviluppo e al rilascio del software,
la containerizzazione è elemento abilitante all’adozione dei microservizi e più in generale di metodologie come il DevOps, del quale si parla ormai da diversi anni ma che, nell’ottica di coniugare le applicazioni esistenti con le più moderne infrastrutture e app cloud native, ha guadagnato negli anni una crescente popolarità.
L’attenzione per il DevOps è quindi costante, anche da parte dei nostri clienti che si trovano sempre più spesso impegnati in una fase di sperimentazione bottom-up o top-down, che li aiuti a
comprendere come trarre il meglio le tecnologie di containerizzazione, dai microservizi e dal DevOps stesso, e a capire quale impatto queste tecnologie potranno avere sulla loro organizzazione e sul modus operandi, al fine di dare vita a nuovi servizi di qualità che arrivino fino alla produzione.
DevSecOps: un cambiamento culturale
Il
DevSecOps resta principalmente
un approccio culturale che prevede cambiamenti profondi: a partire da una revisione totale del modo in cui i servizi e le applicazioni vengono realizzate, monitorare ed esercite da tutti gli attori della filiera, dagli sviluppatori, da chi si occupa della security o delle operations fino a chi sorveglia che tutto in produzione venga erogato correttamente.
Tutto questo si traduce in una modifica sostanziale anche dei processi aziendali e della composizione dei team di lavoro, che vengono organizzati in maniera diversa per poter realizzare nuove applicazioni e servizi. Oggi, infatti, è sempre più necessario che all’interno dei team, che in passato erano separati per silo specialistici,
siano presenti nuove competenze dalla security allo sviluppo fino alle operations che siano trasversali a tutto il team, skill a volte ottenute coinvolgendo soggetti esterni e altre volte apprese attraverso una formazione continua.
DevOps top-down o bottom-up?
L’adozione del DevSecOps da parte dei nostri clienti sta avvenendo con due modalità molto diverse tra loro. Bottom-up,
tramite una sperimentazione sul campo, che ha garantito benefici rapidi ed evidenti, con la creazione di ambienti di test in pochi minuti rispetto alle settimane che ci volevano in passato. Oppure top-down, in modo opposto, a partire dalla
creazione di una sorta di “innovation hub” interno e dalla definizione di linee guida che poi la corporate condivide nell’organizzazione in modo che vengano adottate da chi deve essere coinvolto.
Come Kirey Group abbiamo seguito i clienti in entrambi questi percorsi che presentano vantaggi e difficoltà di diverso genere. Quando l’iniziativa nasce
bottom-up le principali difficoltà nascono dal punto di vista organizzativo. Forte è infatti la necessità di governare questi ambienti molto dinamici ed essere accompagnati da un consulente che abbia la corretta expertise per farlo.
Quando invece le iniziative nascono
top-down sono gli aspetti legati all’integrazione con l’IT esistente a passare in primo piano e spesso la necessità è quella di r
icorrere a servizi gestiti, per avere un servizio disponibile 24 ore su 24 anche per applicazioni business critical, e di avvalersi di competenze specifiche da parte di partner che hanno una conoscenza profonda anche delle tecnologie già adottate dall’organizzazione, e che li aiutino a esporre all’esterno l’intera l’architettura dei microservizi in maniera controllata e resiliente. Nel caso dell’adozione top-down la questione, quindi, e non è più quella di come facilitare l’adozione ma
come giungere alla migliore integrazione attraverso una partnership fidata.
Adozione del DevSecOps: mai così attuale
Oggi è molto difficile poter dire quale sarà l’evoluzione del mercato nei prossimi mesi, ma possiamo affermare con una certa sicurezza che
l’attenzione alla riduzione dei costi sarà messa ancor più in primo piano rispetto al passato e, in questo contesto, che il cloud sarà sempre più utilizzato in tutte le sue forme per architetture ibride on prem o multi-cloud.
Molto spesso, in passato abbiamo visto i clienti implementare in un’ottica “self-made” soluzioni customizzate per la governance. Negli ultimi mesi il mercato ci ha mostrato con evidenza come esistano molte e nuove soluzioni forti e abilitanti, che richiedono anche
meno tempo speso nella manutenzione - soluzioni per la gestione pensate in un’ottica multi-cloud e ibrida.
Sicuramente sarà importante guardare alla loro evoluzione perché posso dire con certezza che in futuro avremo a che fare con
governance complesse, a 360 gradi, di architetture che a volte, come nell’ambito assicurativo arriveranno facilmente fino all’edge. Tale scenario richiederà la competenza di partner capaci non solamente di sviluppare container ma anche di renderli sicuri, gestirli al meglio quando in esecuzione e monitorarli, e che potranno svolgere un ruolo chiave nel supportare le aziende in questo cambiamento.
Enrico Mingardo è Portfolio & Alliance Manager di Kirey Group