فرآیندهای چابک و امنیت IT را با DevSecOps متصل کنید

بسیاری از شرکت ها از فناوری ظرف داکر استفاده می کنند. این به طور پایدار از چرخه های توسعه سریعتر پشتیبانی می کند. برای مدیریت کانتینرهای بی شماری – به اصطلاح ارکستراسیون – نرم افزار منبع باز Kubernetes تاسیس شده است. با این حال ، آنچه فرصت های جدیدی را برای توسعه دهندگان ایجاد می کند ، تحت نظارت جدی توسط مأموریت های امنیتی یا امنیتی در بسیاری از شرکت ها قرار دارد. به عنوان مثال ، روزهای فناوری اطلاعات در سال 2019 در دسامبر 2019 به طور جدی با موضوعات مربوط به فناوری کانتینر و امنیت فناوری اطلاعات در یک پنل منفرد سروکار خواهد داشت. فن آوری کانتینر باعث تسریع در فرآیندهای کاری ، آزمایش ، عملکرد تست ، چرخش و عملکرد تولید می شود. آنها برای جلوگیری از خرابی در امنیت فناوری اطلاعات ، نیاز به درک اساسی از فناوری دارند. ویژگی های امنیتی Kubernetes مانند کنترل دسترسی مبتنی بر نقش (کنترل دستیابی به نقش (Role based Access Access)) یا PodSecurancePolicy ، یک منبع اضافی برای کنترل دسترسی ، در این امر کمک می کند. یکی دیگر از ابزارهای مفید معیار CIS Kubernetes است – مشابه CIS Docker Benchmark ، لیست مفیدی را برای تأمین خوشه Kubernetes فراهم می کند.

کار با میکرو سرویس ها برای فرآیندهای DevOps نیز بسیار مهم است. مزیت این معماری های پیوندی این است که بسته به نیاز تغییر یافته ، ماژولهای جداگانه می توانند به سرعت جایگزین ، گسترش یا اقتباس شوند. با این حال ، با اتخاذ شرکتها DevOps و میکرو سرویس ها ، مسئولیت امنیت محیط های فناوری اطلاعات به شدت تغییر می کند. این نتیجه گیری از مطالعه "امنیت امنیتی در عصر میکروسرویس" توسط شرکت نرم افزاری Radware است. به گفته رادور ، اگر نقش عملیات توسعه امنیت (DevSecOps) به طور واضح مشخص نشده باشد ، این تغییر ممکن است منجر به آسیب پذیری های امنیتی جدید و خطرات بالاتر شود.

به طور خلاصه ، شرکت ها باید "فرهنگ DevSecOps" را ایجاد کنند تا از این چالش کامل استفاده کنند.

7 نکته در مورد چگونگی ایجاد فرهنگ DevSecOps

برای لنگر انداختن گسترش DevOps به DevSecOps در تمام تیم ها ، همه کارمندان نباید فقط جنبه های تکنولوژیکی فرآیند را در نظر بگیرند.

نکته 1: با صراحت و شفاف ارتباط برقرار کنید!

با بحث های متقابل شروع کنید تا همه مدیران توسعه ، بهره برداری و امنیت به یک امر مشترک برسند. برای هدف قرار دادن مشاغل دیگر از حوزه های تجاری – از جمله فروش و بازاریابی – را درگیر کنید و درک عمیق DevSecOps را در بین همه کارمندان بدست آورید.

نکته 2: مبانی برای به اشتراک گذاری دانش و اشتراک گذاری ایجاد کنید! [19659002] آموزش تمام تیم های امنیتی IT در فرآیندهای DevOps و ایجاد فرصت هایی برای به اشتراک گذاشتن تجربیات و ارائه به طور مرتب نمونه های برتر تمرین.

نکته شماره 3: یک متخصص امنیتی را برای هر تیم تعیین کنید!

یک محیط حمایتی را برای این شخص ایجاد کنید تا آنها بتوانند نگرانی های ایمنی را با همه اعضای تیم به اشتراک بگذارند. پروتکل های امنیتی و ممیزی های مربوط به سیاست های امنیتی می توانند به متخصصان امنیتی کمک کنند.

نکته شماره 4: انجام یک تجزیه و تحلیل ریسک و منافع!

خطرات بالقوه را شناسایی کنید ، بیانیه های احتمال را بدست آورید ، تخمین بزنید اثر خسارت و مقدار آن را گرفته و از این امر تحمل ریسک شرکت یا پروژه خود را استنباط می کنید! انجام تحلیل های مربوط به ریسک ، بخشی جدایی ناپذیر از یک استراتژی امنیتی است.

نکته 5: از ابزارهای تحلیل کیفیت اطمینان استفاده کنید!

تضمین کیفیت ضعیف می تواند منجر به هزینه های اضافی قابل توجهی برای پروژه های IT شود. درایورهای اصلی هزینه مشخصات نادرست و ناقص مشخصات و ابزارهای تحلیل ناقص هستند. ادغام اسکنرهای امنیتی برای ظروف و بررسیهای امنیتی خودکار ، به روزرسانیها و وصله ها می تواند کمک کند.

نکته 6: اندازه گیری های مناسب را اندازه بگیرید! شما نمی توانید معیارهای ایمنی کافی را برای ادغام در این فرآیند قضاوت کنید تا بدانید که در حال اندازه گیری موارد صحیح هستید و همیشه هنگام مدیریت عملکرد DevOps به تمام شاخص های کلیدی عملکرد (KPI) توجه می کنید.

نکته 7: انجام بررسی های دوره ای کد به صورت دوره ای!

بررسی کد با ابزار اسکن به شما کمک می کند تا به طور مداوم پایه کد خود را بهبود ببخشید و از نقاط ضعف زود هنگام خودداری کنید.

معرفی DevOps با استفاده از مثال Adacor

Adacor از رویکرد DevSecOps از ابتدای سال 2019 استفاده می کند. یک جلسه امنیتی مقدمه این روند بود. مدیریت و نمایندگان بخشهای انطباق و عملیات گرد هم آمده اند تا چارچوب و نقشه راه را برای اجرا تنظیم كنند. حرکت قبلی به DevOps ، نیاز به یکپارچه سازی کامل امنیت فناوری اطلاعات را در فرآیندهای چابک نشان داد.

سازمان امنیت اطلاعات Adacor در نتیجه سازماندهی مجدد شد:

  • اکنون یک منطقه مسئول استراتژی امنیتی است. کارمندان در آنجا تصمیم گیری های استراتژیک در مورد امنیت اطلاعات را با مشورت نزدیک با کارمندان مدیریت ، مدیریت امنیت اطلاعات و انطباق (ISM) و نمایندگان ادارات انجام می دهند.
  • حوزه دیگری در سطح سازمانی فعالیت می کند. این تیم امنیتی اطلاعات با نمایندگان بخش های عملیات دیدار می کنند – Adacor مسئول عملیات فناوری (TOP) ، عملیات شبکه (NOP) و عملیات مشتری (COP) – و همچنین توسعه (DEV) و انطباق است. بر اساس تصمیمات استراتژیک ، آنها اجرای عملیاتی الزامات سازمانی در سیستمهای IT را هماهنگ می کنند.

در جلسات منظم ، کلیه افراد درگیر در این فرایند از موضوعات امنیتی فعلی مطلع می شوند. این موضوع بر امنیت به عنوان یک واحد کارکردی متمرکز است.

DevSecOps in Practice

برای ادغام کامل امنیت (SEC) در رویکرد DevOps ، Adacor از ابزارهای توسعه دهنده استفاده می کند ، توضیحات فرآیند را ایجاد می کند و ابزارهایی برای انتشار نقش های جدید دارد. اتوماسیون نقش اساسی در رویکرد DevOps دارد. نظارت مداوم بر مؤلفه های مربوطه و اسکن های امنیتی خودکار ، تیم های Adacor را در مورد حملات ، پیام های خطا و اختلال در حین کار ، آگاه می سازد.

راهنمایی سخت گیری Adacor بر اساس کلیه پروژه های IT داخلی ، به ویژه سیستم های IT با اطلاعات حساس است به یک راهنمای اجرای فنی امنیتی (STIG). در صورت لزوم ، آنها می توانند در پروژه های مشتری سازگار شوند. علاوه بر این ، آداکور نقشهای سخت افزاری را برقرار کرده است. این مجموعه دستورات و اقدامات باعث تسهیل در طراحی سرور یا برنامه می شود: بلوک های فرمان شخصی در صورت لزوم قابل حذف هستند و یک جدول زمانی مربوطه طراحی شده است.

از طریق رسانه ، تیم سازگار یا یک خبرنامه امنیتی IT به یک آسیب پذیری امنیتی تبدیل می شود. یا یک مورد حاد امنیتی ، کلیه کارمندان از طریق سیستم بلیط جیرا یا از طریق نامه الکترونیکی مطلع می شوند. علاوه بر این ، سیستم مدیریت آسیب پذیری ما حمله می کند. نمایندگان تیم های OPS و DEV به طور مشترک این حادثه را ارزیابی می کنند: آیا این آسیب پذیری مربوط به Adacor است؟ کدام پروژه های مشتری را می توان تحت تأثیر قرار داد؟ متعاقباً ، آنها یک فهرست به موقع از اقدامات را با توصیه هایی برای اقدام برای همه اعضای تیم آسیب دیده تهیه می کنند. این اقدامات تا زمانی که پرونده امنیتی برطرف نشود ، تحت بررسی قرار می گیرند.

رویکرد همکاری DevOps زمینه مسئولیت امنیت فناوری اطلاعات را تغییر می دهد

اقدامات امنیتی باید از مرحله اول در این پروسه ادغام شود. اصطلاح "DevSecOps" ایجاد شده است تا روشن شود که امنیت باید جزئی جدایی ناپذیر از تمام ابتکارات DevOps باشد. این بدان معنی است که امنیت کاربردها و زیرساخت ها باید از قبل در مرحله مفهوم مورد توجه قرار گیرند. برای مقاومت در برابر سرعت زیاد گردش کار DevOps ، اتوماسیون ویژگی های امنیتی ضروری است. انتخاب ابزار مناسب نقش مهمی در ادغام موفقیت در امنیت DevOps دارد. برای اینکه فرآیندهای کارآمد و ایمن به طور همزمان انجام شوند ، شرکت ها باید تغییراتی در فرهنگ سازمانی و طراحی مجدد ساختار تیم های امنیتی ارائه دهند.