Impacto global da Red Hat na segurança do Linux

A Red Hat tem como base o open source, uma comunidade global, descentralizada e transparente de engenheiros internacionais que priorizam a segurança e a tecnologia. O Red Hat Enterprise Linux (RHEL) é o sistema operacional de confiança usado por mais de 90% das empresas e clientes listados na Fortune 500 em mais de 174 países. Essa confiança é conquistada em grande parte devido à confiabilidade e estabilidade do RHEL, bem como à longa história da Red Hat em contribuir ativamente com projetos open source. 

No entanto, há um fator importante que muitas vezes é desconsiderado em relação ao sistema operacional Linux, que é sua reputação de ter segurança aprimorada em comparação com outros sistemas operacionais. Embora essa reputação seja conquistada, nem todas as distribuições Linux são iguais quando se trata de segurança. Ao longo dos anos, a Red Hat fez investimentos significativos para oferecer aos usuários do RHEL os recursos adequados para atender aos rigorosos requisitos de segurança global da região e para aproveitar as práticas recomendadas de segurança da maneira mais eficiente possível. Neste artigo, falaremos sobre alguns desses investimentos em segurança e como eles afetam os usuários em três áreas principais: pesquisa/roadmap, implantação/prática e suporte de segurança pós-venda. 

Pesquisa e roadmap 

Os requisitos de conformidade são diferentes ao redor do mundo

Com mais de 100 escritórios em mais de 40 países, a equipe da Red Hat entende haver uma infinidade de regulamentações de conformidade que diferem conforme o país. Uma parte essencial da fase de pesquisa e roadmap do RHEL é observar quais requisitos os usuários estão enfrentando atualmente e quais outros eles podem enfrentar no futuro.

Por exemplo, à medida que mais dados são migrados para a nuvem e a IA se torna mais predominante e exige acesso a vários conjuntos de dados, novas preocupações sobre a soberania de dados continuam surgindo. Com clientes em vários setores e países, entendemos os controles, a governança e os requisitos de certificação que muitos usuários enfrentam. Se quiser saber mais sobre as regulamentações específicas em todo o mundo, mantemos uma página da web que detalha as validações e certificações de cibersegurança das nossas soluções e serviços em mercados globais, que continuarão a evoluir conforme novas regulamentações forem introduzidas.

Esteja sempre um passo à frente das ameaças

A equipe de soluções está sempre olhando à frente para identificar possíveis ameaças no futuro. Com base em uma prática desenvolvida primeiro pelas forças armadas, se os membros da equipe de soluções identificarem uma ameaça ou um problema futuros, eles produzirão um documento chamado SBAR, que significa Situação, Histórico, Avaliação, Recomendação (Situation, Background, Assessment, Recommendation, em inglês).

Como o título indica, este documento explica o que é a ameaça futura, seu impacto para nossos clientes e para o produto, além de avaliar a viabilidade de enfrentá-la e os métodos disponíveis para isso, seguido por uma recomendação sobre as etapas que a Red Hat deve seguir. Fiel à natureza open source da empresa, o SBAR é compartilhado com todos na Red Hat para coletar informações adicionais e colaborar com a recomendação mais adequada. Por exemplo, com base em um SBAR escrito anos antes, já havia um plano interno elaborado em abril de 2022 sobre como a equipe de soluções lidaria com o futuro desafio da criptografia pós-quântica. 

Práticas de ciclo de vida de desenvolvimento seguro (SDLC)

A segurança de software precisa ser incorporada ao desenvolvimento desde o início, e a Red Hat segue uma abordagem que se alinha diretamente ao National Institute of Standards and Technology (NIST) Secure Software Development Framework (NIST SSDF SP-800-218), bem como com o Open Web Application Security Project (OWASP) e vários padrões ISO. Todos os membros da equipe de segurança de soluções Red Hat entendem as expectativas em torno do ciclo de vida de gerenciamento de software (SSML) da empresa, além de saberem seguir os planos e processos desenvolvidos para dar suporte a essas práticas. Para mais detalhes sobre os diferentes aspectos do framework, confira o artigo da base de conhecimento, escrito pela nossa equipe de segurança de soluções. 

Mais supervisão, menos riscos

Muitos fornecedores participam de projetos open source de forma restrita, somente como leitura, mantendo para si o controle total e sendo os únicos a contribuir com o código. Há muitos exemplos disso entre startups e grandes empresas de tecnologia. Elas usam o open source como um funil de marketing para atrair a adoção de suas tecnologias, mas ignoram seu verdadeiro valor: a inovação. Essas empresas querem que você use o software open source delas, mas patches e contribuições não são bem-vindos, a menos que sejam documentações ou grupos de usuários. Elas não querem seu código. Elas precisam ter controle total sobre os projetos para lucrar com os projetos comerciais que criaram com o open source.

Na Red Hat, acreditamos que o verdadeiro poder do open source está na comunidade, onde o código é criado em um processo colaborativo com um grupo global de contribuidores. Isso solicita e seleciona as melhores e mais brilhantes ideias, ao mesmo tempo, em que apoia a tradição consagrada de que, como Linus Torvalds disse uma vez, "com olhos suficientes, todos os bugs são superficiais". Quando há uma comunidade íntegra de colaboradores, se um participante se comportar mal, qualquer outro participante pode relatar o problema ao restante da comunidade. Todos estão supervisionando todos. Se o problema não puder ser resolvido, qualquer participante pode pegar uma cópia do código e iniciar sua própria versão do projeto. 

Do ponto de vista da segurança, a natureza aberta, transparente e colaborativa do open source voltado para a comunidade reduz o risco de vulnerabilidades mal-intencionadas no código. Quando todos estão de olho em todos e todos estão de olho no código, é muito mais difícil introduzir algo prejudicial, seja intencional ou acidentalmente.

Implantação e prática

Comece a aprimorar a segurança no momento da compilação 

A Red Hat incorpora várias camadas de mecanismos de segurança em suas soluções, incluindo configurações de segurança padrão, controles de acesso com privilégios mínimos e análises rigorosas de código. Um dos recursos que os usuários estão geralmente interessados é a capacidade de aproveitar perfis de segurança que oferecem configurações padrão. Ao selecionar uma linha de base de segurança, os administradores podem aproveitar a automação no momento da compilação para verificar se a configuração atende às práticas recomendadas de conformidade e segurança. Isso aumenta a eficiência e reduz o risco e a possibilidade de erro humano durante o que, de outra forma, seriam tarefas manuais realizadas após a compilação. 

Una a segurança à eficiência

Em 2024, a Red Hat introduziu o image mode, um novo método de implantação para o RHEL que oferece a plataforma como uma imagem de container. O image mode usa uma abordagem nativa em containers para criar, implantar e gerenciar o sistema operacional, oferecendo um único fluxo de trabalho para gerenciar todo o cenário de TI, das aplicações ao sistema operacional subjacente, com as mesmas ferramentas e técnicas. Para as equipes de segurança, isso significa que elas agora podem usar ferramentas de segurança de containers com as quais já estão familiarizadas, como verificação e validação, criptografia, certificação e elementos básicos do sistema operacional. Isso torna o trabalho muito menos complexo.

Forneça insights sobre segurança

Com o surgimento diário de novas ameaças e o aumento constante das demandas das equipes de TI, o Red Hat Insights foi criado para ajudar nossos clientes a identificar e relatar problemas, priorizar riscos com base no impacto nos negócios e até mesmo acionar a próxima ação na cadeia de ferramentas de automação. O Insights tem ferramentas de análise de segurança para ajudar a gerenciar riscos com mais eficiência. É possível avaliar os sistemas em busca de vulnerabilidades e exposições comuns (CVEs), coletar informações de varredura e conferir orientações sobre correção por meio de uma única interface. 

O Insights também ajuda você a priorizar as ações de correção com base na gravidade, tipo de risco e impacto da mudança. Ele ajuda você a ter mais proatividade ao auditar a conformidade regulatória com políticas OpenSCAP, corrigir mais facilmente sistemas fora de conformidade e gerar relatórios de conformidade com mais facilidade. Além disso, você pode usar o Insights para detectar rapidamente assinaturas de malware ativas em sistemas no seu ambiente de nuvem híbrida.

Suporte de segurança pós-venda

A Red Hat é uma parceira de segurança global de confiança

A segurança é o foco principal da Red Hat. Trabalhamos com e por meio de programas de divulgação responsável coordenados e liderados pelo setor. Temos uma longa história de participação nessas organizações e de trabalho com parceiros globais e nacionais para colaboração e compartilhamento de dados de segurança.

Por ser uma das poucas organizações no mundo a ter um papel especial como participante Root do programa contra vulnerabilidades e exposições comuns (CVE), a Red Hat é parceira do CVE.org e tem a missão de identificar, definir e catalogar vulnerabilidades de cibersegurança divulgadas publicamente. Além da função Root, a Red Hat também é uma CVE Numbering Authority (CNA), o que significa que temos autorização do programa CVE para atribuir IDs CVE a vulnerabilidades e publicar registros CVE.

Para nossos usuários, isso significa que, quando são notificadas sobre uma nova CVE, as empresas podem ficar tranquilas sabendo que uma equipe de experts em segurança, que conhece o RHEL a fundo, esteve ativamente envolvida na avaliação de vulnerabilidade. Quando essas vulnerabilidades afetaram as soluções Red Hat, a equipe já estava investigando as etapas de correção necessárias.

Por fim, no que diz respeito às comunidades open source das quais dependemos e com as quais nos relacionamos, a Red Hat também é uma CNA de Último recurso. Isso significa que podemos atribuir CVEs e publicá-las para vulnerabilidades que afetam projetos open source não cobertos por outra CNA.

Transparência em relação à segurança, vulnerabilidades e correções

Embora estejamos obviamente focados no RHEL, quando se trata de segurança, a Red Hat compartilha ativamente informações de segurança e vulnerabilidades publicamente. A transparência está no nosso DNA, e parte da visão da equipe de segurança de soluções é fornecer as informações de qualidade necessárias para mitigar os riscos de segurança e privacidade, bem como o acesso a elas.

Isso não se limita aos nossos clientes: inclui a colaboração da comunidade na criação de patches e estratégias de mitigação para todos os usuários do Linux. Como comunidade, é importante que todos trabalhem para manter a reputação do Linux como um dos sistemas operacionais mais seguros do mundo. Como mencionado anteriormente, isso também se estende ao nosso código. Nosso código é aberto. Todos são livres para inspecionar, auditar, revisar e contribuir com nosso código.

Participamos com profissionais do mundo todo no desenvolvimento de práticas de segurança open source que oferecem um framework de base para a indústria global adotar e desenvolver. Essa prática não é nova e, nos últimos 30 anos, as evidências são vistas no nosso apoio à criação do OpenSCAP, nossa associação em organizações como OpenSSF e CoSAI, e nossas contribuições para OSV.dev. 

De olho nos próximos 30 anos

Embora talvez não seja considerada uma empresa de segurança no sentido tradicional, a Red Hat tem se concentrado na segurança como base e sendo facilitadora há décadas. O mundo está diferente hoje em comparação com o que era em 1993, quando Marc Ewing criou a distribuição do Linux chamada Red Hat Linux. Ninguém tem uma previsão clara de como serão os próximos 30 anos, mas podemos ter certeza de que continuaremos nos concentrando nos requisitos de segurança global. 

Continuaremos a: 

• Pesquisar e elaborar os roadmaps necessários para nossas soluções atenderem às necessidades de segurança de nossos clientes em todo o mundo.
• Projetar nossas soluções de maneira a facilitar a aplicação da segurança no momento da criação para aumentar a eficiência e reduzir riscos.
• Apoiar nossa base e a comunidade Linux global a corrigir ameaças por meio de nossa participação ativa em iniciativas com foco em segurança, como o programa CVE.

Somos apaixonados pelo Linux e por proteger nossa comunidade. Vai ser incrível trabalhar com você nessa missão. 

Fique por dentro da segurança open source assinando o feed do nosso blog.