2021: Odisseia DevSecOps em Multi-Cloud

As organizações, em praticamente todas as indústrias, tanto do setor público como privado, estão a usar a inovação de software para se diferenciarem e evitarem ser ultrapassadas. O negócio está mais exigente do que nunca e a área de IT terá de se adaptar a este “novo normal” em ambiente multi-cloud e com fluxos de evolução DevSecOps. 

Vivemos uma nova era de digitalização, em que a velocidade e a agilidade são as chaves para o sucesso. Cabe às equipas de Infraestruturas e Operações (I&O) terem as melhores ferramentas e conhecimento para capacitar os seus colaboradores e parceiros para agir num mercado cada vez mais competitivo.

Isto significa que os pedidos de recursos devem ser cumpridos a velocidades quase instantâneas e em volume mais elevado a cada dia que passa. 

A área de IT toca em quase todos os departamentos dentro de uma organização. Como tal, pode rapidamente existir algum estrangulamento, à medida que as abordagens dos sistemas legados dão lugar a novos modelos de entrega.

Os líderes de IT precisam de melhorar radicalmente a velocidade e eficiência da prestação de serviços. Só assim conseguirão manter-se relevantes e antecipar-se às transições de novas tecnologias, como a mudança para Kubernetes, Plataform as a Service nativa da nuvem ou aquisição de serviços e funções.

 

5 Passos para entrar numa jornada Multi-Cloud e DevSecOps

Existem 5 passos críticos para transformar a entrega de serviços de IT numa jornada multi-cloud e DevSecOps de sucesso.

 

5-passos-01

 

Passo 1: Ativar o self-service para todos 

Em 2023, 90% das empresas irão falhar na filosofia de DevSecOps se não forem adotadas plataformas de self-service. Fonte: How to Scale DevOps by Building Platform Teams - Gartner

A implementação do auto-serviço é, assim, essencial.

 

Passo 2: Integrar e otimizar rapidamente 

A maioria das organizações está hoje a adicionar pelo menos 3 plataformas / nuvens com novas opções, particularmente em indústrias repletas de fusões e aquisições. A rapidez de integração também é importante, dada a constante mudança verificada no ecossistema tecnológico. 

Por esta razão, uma plataforma moderna de automação em nuvem será fundamental em ambientes heterogéneos.

 

Passo 3: Estabelecer controlos e políticas 

Uma das principais razões pelas quais o controlo de custos em nuvem tem sido um problema para as organizações é a falta de um controlo eficaz do acesso baseado em funções (RBAC). 

A capacidade de fornecer auto-serviço e automação é importante, mas a governação é fundamental. Devem ser estabelecidos os diversos controlos em ambientes segregados e multi-tenant.

 

Passo 4: Fornecer entrega sem atritos 

Um estudo recente da Gartner sobre organizações empresariais mostrou que acelerar a entrega do produto era o objetivo número 1 para a adoção de metodologias ágeis. No entanto, acelerar processos do lado do desenvolvimento do software, sem uma velocidade semelhante na sua libertação para a produção é contraproducente. 

Esta é uma das principais forças que impulsionam a cultura DevSecOps. No entanto, a entrega pode ser mais desafiante se estivermos apenas focados no comando e no controlo. Dito de outra forma, a governação é importante, mas não pode acontecer à custa da velocidade e da inovação.

 

Passo 5: Gerir a operação

Como indústria e como profissionais de TI, passamos muito tempo a falar de automação e criação de novos serviços. No entanto, devemos preocupar-nos não só com o rápido aprovisionamento, mas também com uma gestão completa do ciclo de vida de instâncias das aplicações. 

Este ciclo vai desde a sua criação até ao seu término, englobando também a disponibilização de ferramentas de integração operacional que permitam o seu registo, monitorização e backup. 

Até 2021, mais de 75% das organizações de médio e grande porte terão adotado uma estratégia de IT Multi-Cloud e/ou híbrida. Fonte: Increasing Reliance on Cloud Computing Transforms IT and Business Practices - Gartner.

Até 2025, 80% das atividades de I&O serão de apoio a produtos empresariais digitais (principalmente sob a forma de aplicações) e não de entrega de infraestruturas. Fonte: IT Operations Management 2025: Shift to Succeed - Gartner.

Há duas grandes mudanças em curso na indústria tecnológica que vão mudar para sempre a forma como as Infraestruturas e Operações cumprirão o mandato de transformação digital: Cloud Computing e DevSecOps. 

Enquanto os fundamentalistas e early adopters estão a entrar na sua segunda década, estamos preparados, enquanto indústria, para tirar mais partido (em 2021 e no futuro), à medida que estas mudanças começam a convergir e amadurecer.

 

Cloud Computing: os 3 Rs

A cloud evoluiu ao longo da última década, passando de uma tendência disruptora do mercado para um mecanismo padrão para fornecer serviços de IT tradicionais e de próxima geração. 

Na sua definição mais simples, a computação em nuvem é definida pela escala elástica e pelo consumo de self-service. Não há dúvida que a cloud computing se tornou parte integrante das iniciativas de transformação digital devido à sua capacidade de proporcionar maior agilidade e rapidez de inovação. 

Gartner, AWS e outros especialistas apresentaram variações da construção em "5 Rs" em torno da mudança para a cloud. Embora as etapas de "Retiring" e "Repurchasing" sejam fases válidas são menos críticas para esta discussão, por isso vamos focar-nos nas outras três:

 

  • Rehosting

Muitos adotantes de nuvem antiga perseguiram a ilusão de que a nuvem pública era mais barata, prosseguindo com uma migração a granel de aplicações. 

A maioria agora concorda que essa foi uma falsa crença e que o equilíbrio se encontra entre destacamentos privados e públicos.

 

  • Replatforming

Envolve pequenas atualizações a alguns serviços e processos como parte da mudança para a nuvem. Por exemplo, trocar uma camada de base de dados para passar de um RDBMS legado para um equivalente PaaS nativo da nuvem. 

 

  • Refactoring 

Surge como uma oportunidade para abraçar micro-serviços e contentores, bem como funcionalidades em nuvem, ou até mesmo funções sem servidor. Requer mais trabalho, mas permite entregar um maior número de inovações ao negócio. 

Independentemente de onde se situem na "Curva R", as organizações estão a desenvolver relações de longo prazo com fornecedores cloud de hiperescala, como AWS, Azure e Google. 

Procuram um acesso contínuo a inovações, mas, ao mesmo tempo, precisam de controlar o bloqueio dos fornecedores, através da adoção de normas abertas e tecnologias de integração.

5-passos-02

Isto representa um desafio único para as organizações de I&O que já lutam para acompanhar a velocidade da evolução. As exigências de trabalhar com infraestruturas antigas e uma enorme lacuna de competências só vão piorar, à medida que equipas sobrecarregadas tentam acompanhar uma miríade de interfaces na cloud.

 

A evolução do DevOps para o DevSecOps

Nos últimos 10 a 15 anos, a adoção do Agile Software Development levou a uma ampla consciencialização e reconhecimento da mudança da cultura de IT conhecida como DevSecOps. 

As organizações têm procurado o nirvana das metodologias ágeis, popularizadas em obras como The Phoenix Project, com ciclos de feedback colaborativos e fluxos de trabalho totalmente automatizados. 

É muito mais fácil dizer do que fazer, no entanto, muitos descobriram já que as pessoas e os processos são muitas vezes um problema mais difícil de solucionar do que ferramentas e tecnologia. Ainda assim, a melhoria contínua do fluxo, removendo constrangimentos e proporcionando mais valor, é um objetivo que persiste. 

Adotar uma cultura, ferramentas e sistemas de DevSecOps ajuda cada organização a perceber o valor dos investimentos em IT, que vão muito além de fornecer software mais rápido e com maior qualidade. Tudo isto se traduz numa maior diferenciação do mercado e no valor do negócio. 

Existem várias fases de maturidade e práticas associadas à evolução das organizações:

 

  • Standardizar e normalizar os recursos tecnológicos 

Isto é conseguido através do controlo de versões e da utilização de recursos tecnológicos consistentes em ambientes operacionais para reduzir a variabilidade. 

 

  • Expandir as práticas de DevSecOps e automatizar a entrega

Esta fase é marcada pela responsabilização e eliminação de aprovações manuais. Envolve também a configuração e automatização para melhorar o fluxo, incorporando práticas, controlos e metodologias de segurança intrínsecas ao desenvolvimento.

 

  • Fornecer plataformas de self-service partilhadas para otimizar esforços 

Esta fase, de maior maturidade, é marcada pelo self-service para entregas contínuas e equipas interfuncionais para gerir os ciclos de feedback

Um dos desafios que muitos enfrentam na sua jornada de DevSecOps tem sido encontrar ferramentas e tecnologias que satisfaçam as necessidades de todas as partes interessadas. 

As equipas de desenvolvimento têm gravitado para quadros ágeis, usando ferramentas de código aberto, quadros de programação e infraestruturas como código. Já os profissionais de operações tendem a apoiar-se em ambientes gráficos familiares, relações com fornecedores confiáveis e acordos de nível de serviço. 

Fazer a ponte on-prem + nuvem pública, em simultâneo com a Dev + Sec + Ops, exige um tipo diferente de ferramentas e um tipo diferente de líder de IT.

 

Multi-Cloud e DevOps - Convergência em 2021 

Apesar da Cloud Computing e do DevOps existirem há mais de 10 anos, é evidente que a maioria das organizações tem um longo caminho a percorrer. 

Os programadores ainda demoram semanas para obter o que precisam da entrega de IT e as equipas de operações ainda enfrentam preocupações com os níveis de segurança e serviço. Para além das tendências tecnológicas já discutidas, verifica-se uma crescente apetência para adotar metodologias emergentes de infraestruturas como código e uma elevação da consciencialização em torno das ameaças à cibersegurança

Estes fatores só vão agravar o problema, a menos que a IT se adapte rapidamente, mas nem tudo são más notícias. Mais organizações do que nunca já possuem orçamentos dedicados, destacando pessoas e programas para a gestão de nuvens e automação. 

As organizações mais evoluídas estão a repensar a forma como as curvas de maturidade de Cloud Computing e de DevSecOps devem convergir para acelerar os resultados do negócio.

 

5-passos-03

 

Das Máquinas Virtuais e Kubernetes até ao que virá a seguir

Em 2015, a maioria das empresas tinha pouca compreensão sobre containers, mas hoje esta está a tornar-se uma parte central das estratégias de modernização de aplicações. Até 2023, haverá implementação de kubernetes em mais de 80% de todos os ambientes privados de nuvem, exigindo que as Infraestruturas e Operações adquiram competências operacionais. 

A pesquisa da Gartner indica que 20% das empresas globais estão agora a gerir contentores em produção. Enquanto os programadores abraçaram totalmente a plataforma, os líderes de I&O consideraram os ambientes contentorizados difíceis de instalar, operar e manter. 

As mesmas equipas de IT que tentam gerir o VMware on-prem e a public cloud estão agora a ser incumbidas de projetos kubernetes que, por sua vez, expõem grandes lacunas de competências e recursos.

 

Seja um ator principal na jornada DevSecOp em Multi-Cloud

Onde quer que a sua organização se encontre na sua jornada de automação multi-cloud e DevSecOps e qualquer que seja o seu papel, deverá procurar uma plataforma para ir mais longe e mais rápido. 

Ao associar todas as ferramentas e tecnologias de uma forma que reconheça as pessoas e processe os desafios da modernização, pode melhorar, ao mesmo tempo, o controlo e a agilidade. 

A Nexllence tem uma vasta experiência em gestão multi-cloud e em fluxos de desenvolvimento seguros até à operação. Contamos com parceiros que são líderes de mercado nestas áreas e que poderão ajudar na automação e orquestração agnóstica, para lhe fornecer a liberdade para se adaptar mais rapidamente a um ambiente em constante mudança. 


Descobrir soluções Nexllence

2021-09-03