From $7 000

DevSecOps

Описание методологии.

DevSecOps означает разработку, безопасность и эксплуатацию. Это подход к культуре, автоматизации и проектированию платформы, который объединяет безопасность как общую ответственность на протяжении всего жизненного цикла ИТ.

DevSecOps и DevOps.

DevOps — это не только команды разработки и эксплуатации. Если вы хотите в полной мере воспользоваться гибкостью и быстротой подхода DevOps, ИТ-безопасность также должна играть интегрированную роль в течение всего жизненного цикла ПО.

В прошлом роль безопасности была закреплена за конкретной командой на заключительном этапе разработки. Это не было проблемой, когда циклы разработки длились месяцы или даже годы, но эти дни прошли. Эффективный DevOps обеспечивает быстрые и частые циклы разработки (иногда недели или дни), но устаревшие методы обеспечения безопасности могут свести на нет даже самые эффективные инициативы DevOps.

DevOps и безопасность — это общая ответственность, интегрированная от начала до конца. Это мышление настолько важно, что некоторые придумали термин «DevSecOps», чтобы подчеркнуть необходимость создания основы безопасности в инициативах DevOps.

DevSecOps означает думать о безопасности приложений и инфраструктуры с самого начала. Это также означает автоматизацию некоторых шлюзов безопасности, чтобы предотвратить замедление рабочего процесса DevOps. Выбор правильных инструментов для непрерывной интеграции безопасности, например согласование интегрированной среды разработки (IDE) с функциями безопасности, может помочь в достижении этих целей. Однако эффективная безопасность DevOps требует не только новых инструментов — она основывается на культурных изменениях DevOps, чтобы быстрее интегрировать работу групп безопасности.

Встроенная в DevOps Безопасность

Лучшая практика включать безопасность как неотъемлемую часть всего жизненного цикла приложения. DevSecOps — это встроенная безопасность, а не безопасность, которая действует как периметр вокруг приложений и данных. Если безопасность останется в конце процесса разработки, организации, внедряющие DevOps, могут вернуться к длительным циклам разработки, которых они пытались избежать в первую очередь.

В частности, DevSecOps подчеркивает необходимость приглашать специалистов по безопасности и партнеров в самом начале реализации инициатив DevOps для обеспечения информационной безопасности и составления плана автоматизации безопасности. Это также подчеркивает необходимость помогать разработчикам разрабатывать ПО с учетом требований безопасности, т.е. в процессе, в котором группы безопасности обмениваются сведениями, отзывами и информацией об известных угрозах.

Хорошей стратегией DevSecOps является определение допустимого риска и проведение анализа соотношения риск/выгода. Какое количество элементов управления безопасностью необходимо в данном приложении? Насколько важна скорость выхода на рынок для различных приложений? Автоматизация повторяющихся задач является ключом к DevSecOps, поскольку выполнение ручных проверок безопасности в процессе разработки ПО может занимать много времени.

Автоматизации безопасности в DevOps.

Во всех проектах со сложной архитекторой поддерживать короткие и частые циклы разработки, интегрировать меры безопасности с минимальным нарушением работы, идти в ногу с инновационными технологиями, такими как контейнеры и микросервисы, и в то же время способствовать более тесному сотрудничеству между обычно изолированными командами — это сложная задача для любой организации.

Для таких процессов автоматизации существует письменное руководство. Сюда входят репозитории системы управления версиями, реестры контейнеров, конвейер непрерывной интеграции и непрерывного развертывания (CI/CD), управление интерфейсом прикладного программирования (API), оркестровка и автоматизация выпуска, а также операционное управление и мониторинг.

Новые технологии автоматизации помогли организациям внедрить более гибкие методы разработки, а также сыграли свою роль в разработке новых мер безопасности. Но автоматизация — не единственное, что изменилось в ИТ-ландшафте за последние годы — облачные технологии, такие как контейнеры и микросервисы, теперь составляют основную часть большинства инициатив DevOps, и безопасность DevOps должна адаптироваться, чтобы соответствовать им.

Безопасность контейнеров и микросервисов.

Более масштабная и динамичная инфраструктура, обеспечиваемая контейнерами, изменила способ ведения разработки многими организациями. Из-за этого методы обеспечения безопасности DevOps должны адаптироваться к новой среде и согласовываться с рекомендациями по безопасности для конкретных контейнеров.

Облачные технологии не поддаются статическим политикам безопасности и контрольным спискам. Скорее, безопасность должна быть непрерывной и интегрированной на каждом этапе жизненного цикла приложения и инфраструктуры.

DevSecOps означает встраивание безопасности в процесс разработки приложений от начала до конца. Эта интеграция в процесс разработки ПО требует не только новых инструментов, но и нового организационного мышления. Имея это в виду, команды DevOps должны автоматизировать безопасность для защиты всей среды и данных, а также процесс непрерывной интеграции / непрерывной доставки релизов ПО — цель, которая будет включать в себя безопасность микросервисов в контейнерах.

Окружающая среда и безопасность данных:
  • Стандартизация и автоматизация сред: каждая служба должна иметь наименьшие возможные привилегии, чтобы свести к минимуму несанкционированные подключения и доступ.
  • Централизованные возможности управления идентификацией пользователей и доступом: жесткий контроль доступа и механизмы централизованной проверки подлинности необходимы для защиты микросервисов, поскольку проверка подлинности инициируется в нескольких точках доступа ПО.
  • Шифрование данных между приложениями и службами: платформа оркестрации контейнеров со встроенными функциями безопасности помогает свести к минимуму вероятность несанкционированного доступа.
  • Внедрение безопасных шлюзов API: безопасные API повышают прозрачность авторизации и маршрутизации. Сокращая количество открытых API, организации могут уменьшить количество направлений атак.
Безопасность процессов CI/CD:
  • Интегрирование сканеров безопасности для контейнеров: это должно быть частью процесса добавления контейнеров в реестр.
  • Автоматизирование тестирования безопасности в процессе CI: это включает в себя запуск инструментов статического анализа безопасности в рамках сборки, а также сканирование любых предварительно созданных образов контейнеров на наличие известных уязвимостей безопасности по мере их включения в конвейер сборки.
  • Добавление автоматизированных тестов: автоматизация тестирований проверки ввода, а также функций проверки подлинности и авторизации.
  • Добавление автоматизированных тестов для возможностей безопасности в процесс приемочного тестирования: автоматизация тестирований проверки ввода, а также функций проверки подлинности и авторизации.
  • Автоматизирование обновлений безопасности.
  • Автоматизирование возможностей управления конфигурацией системы и служб: это позволяет соблюдать политики безопасности и устранять ручные ошибки. Аудит и исправление также должны быть автоматизированы.

Контакты

0/50000