بسیاری از شرکت ها با فناوری ظرف داکر کار می کنند. این به طور پایدار از چرخه های توسعه سریعتر پشتیبانی می کند. نرم افزار منبع باز Kubernetes خود را برای مدیریت تعداد زیادی از ظروف – به اصطلاح ارکسترال – تاسیس کرده است. با این حال ، مأمورین رعایت یا امنیت در بسیاری از شرکت ها نگاهی جدی به آنچه فرصت های جدید را برای توسعه دهندگان ایجاد می کند ، دارند. به عنوان مثال ، روزهای IT 2019 در دسامبر 2019 به طور جدی با سؤالاتی درباره فن آوری کانتینر و امنیت فناوری اطلاعات در یک پنل برخورد خواهد کرد. فن آوری کانتینر باعث تسریع در فرآیند های کاری ، آزمایش ، عملکرد تست ، چرخش و عملکرد تولید می شود. آنها برای جلوگیری از خرابی در امنیت فناوری اطلاعات ، نیاز به درک اساسی از فناوری دارند. ویژگی های امنیتی Kubernetes مانند کنترل دسترسی مبتنی بر نقش یا PodSecurityPolicy ، یک منبع اضافی برای کنترل دسترسی ، در این امر کمک می کند. ابزار مفید دیگر CIS Kubernetes Benchmark است – مشابه CIS Docker Benchmark لیست مفیدی برای تأمین خوشه Kubernetes وجود دارد.
کار با میکرو سرویس ها برای فرآیندهای DevOps نیز بسیار مهم است. مزیت این معماری پیوندها این است که بسته به نیازهای تغییر یافته ، ماژولهای جداگانه می توانند به سرعت جایگزین ، گسترش یا اقتباس شوند. با این حال ، مسئولیت امنیت محیط های IT هنگامی که شرکت ها فرآیندهای DevOps و خدمات خرد را معرفی می کنند ، بطور قابل توجهی تغییر می کند. این نتیجه مطالعه "امنیت برنامه در میکروسرویس عصر" توسط شرکت نرم افزاری Radware است. طبق گفته Radware ، اگر نقش عملیات توسعه امنیت (DevSecOps) به طور واضح مشخص نشده باشد ، این تغییر می تواند منجر به ایجاد شکاف های امنیتی جدید و خطرات بالاتر شود.
خلاصه: شرکت ها باید برای ایجاد استفاده کامل از چابک ، "فرهنگ DevSecOps" را ایجاد کنند.
7 نکته در مورد چگونگی ایجاد فرهنگ DevSecOps
برای لنگر انداختن گسترش DevOps به DevSecOps در تمام تیم ها ، همه کارمندان نباید فقط جنبه های تکنولوژیکی فرآیند را در نظر بگیرند.
نکته 1: با صراحت و شفاف ارتباط برقرار کنید!
با بحث های متقابل شروع کنید تا همه مدیران توسعه ، بهره برداری و امنیت به یک امر مشترک برسند. تراز هدف. مشاغل دیگر از حوزه های تجاری – از جمله فروش و بازاریابی – را درگیر کنید و درک عمیق DevSecOps را در بین همه کارمندان بدست آورید.
نکته 2: مبانی برای به اشتراک گذاری دانش و اشتراک گذاری ایجاد کنید! [19659002] آموزش همه تیم ها در زمینه امنیت فناوری اطلاعات در فرآیندهای DevOps و ایجاد فرصت برای تبادل تجربه و به طور مرتب ارائه بهترین نمونه های عملی.
نکته 3: یک متخصص امنیتی را برای هر تیم تعیین کنید!
یک محیط حمایتی را برای این شخص ایجاد کنید تا آنها بتوانند اطلاعات امنیتی را در اختیار همه افراد حاضر در تیم قرار دهند. پروتکل های امنیتی و ممیزی های مربوط به سیاست های امنیتی می توانند به متخصصان امنیتی کمک کنند.
نکته شماره 4: انجام یک تجزیه و تحلیل ریسک و منافع!
خطرات بالقوه را شناسایی کنید ، بیانیه های احتمال را بدست آورید ، تخمین بزنید اثر و میزان خسارت را به همراه دارد و تحمل ریسک در شرکت یا پروژه شما را به وجود می آورد! انجام تحلیل های مربوط به ریسک ، یک بخش اساسی یک استراتژی امنیتی است.
نکته 5: برای تضمین کیفیت از ابزارهای تحلیل استفاده کنید!
تضمین کیفیت نامناسب می تواند منجر به هزینه های اضافی قابل توجهی برای پروژه های IT شود. درایورهای اصلی هزینه مشخصات نادرست و ناقص مشخصات و ابزارهای تحلیل ناقص هستند. ادغام اسکنرهای امنیتی برای ظروف و بررسیهای امنیتی خودکار ، به روزرسانیها و وصله ها می تواند کمک کند.
نکته 6: اندازه گیری های مناسب را اندازه بگیرید!
آیا با رویکرد DevOps خود موفق باشید و موفق شوید ، شما فقط می توانید معیارهای امنیتی کافی را در این فرآیند ارزیابی کنید اگر می دانید که در حال اندازه گیری موارد صحیح هستید و همواره هنگام مدیریت عملکرد DevOps به تمام شاخص های کلیدی عملکرد (KPI) توجه می کنید.
نکته 7: به طور منظم بررسی های کد را انجام دهید!
بررسی کد با ابزارهای اسکن می تواند به شما در بهبود مستمر پایه کد کمک کند و از آسیب پذیری ها در مرحله اولیه جلوگیری کند.
معرفی DevOps با استفاده از مثال Adacor
Adacor از اوایل سال 2019 با رویکرد DevSecOps همکاری می کند. جلسه امنیتی این روند را آغاز کرد. مدیریت و نمایندگان ادارات مربوط به انطباق و عملیات برای تعیین شرایط عمومی و برنامه زمان بندی مقدمات ، جلسه داشتند. حرکت قبلی به DevOps ، نیاز به یکپارچه سازی کامل امنیت فناوری اطلاعات را در فرآیندهای چابک نشان داد.
سازمان امنیت اطلاعات Adacor در نتیجه سازماندهی مجدد شد:
- اکنون یک منطقه مسئول استراتژی امنیتی است. کارمندان آنجا با مشورت نزدیک با مدیریت ، کارمندان حوزه مدیریت امنیت و انطباق اطلاعات (ISM) و نمایندگان بخش های تخصصی تصمیم گیری های استراتژیک در مورد امنیت اطلاعات می گیرند.
- حوزه دیگری در سطح سازمانی فعالیت می کند. این تیم امنیتی اطلاعات با نمایندگان بخش های عملیات هماهنگ می شوند – در Adacor اینها عملیات فناوری (TOP) ، عملیات شبکه (NOP) و عملیات مشتری (COP) – و همچنین با بخش های توسعه (DEV) و انطباق هستند. بر اساس تصمیمات استراتژیک ، آنها اجرای عملیاتی الزامات سازمانی در سیستمهای IT را هماهنگ می کنند.
در جلسات منظم ، همه افراد درگیر در این فرآیند اکنون از موضوعات امنیتی فعلی مطلع می شوند. تمرکز روی امنیت به عنوان یک واحد عملکردی متقاطع است.
DevSecOps در عمل
برای ادغام کامل امنیت (SEC) در رویکرد DevOps ، Adacor از ابزارهای توسعه دهنده استفاده می کند ، توضیحات فرایندی را ایجاد می کند و ابزارهایی را برای انتشار نقش های جدید اجرا کرده است. اتوماسیون نقش اساسی در رویکرد DevOps دارد. نظارت دائمی روی مؤلفه های مربوطه و اسکن های امنیتی خودکار ، تیم ها را از Adacor در مورد حملات ، پیام های خطا و نقص عملکرد در هنگام بهره برداری آگاه می کند.
Adacor دستورالعمل های سخت گیری را برای کلیه پروژه های IT داخلی ، به ویژه برای سیستم های IT با اطلاعات حساس تنظیم می کند. به یک راهنمای اجرای فنی امنیتی (STIG). در صورت لزوم ، آنها می توانند در پروژه های مشتری سازگار شوند. آداکور همچنین نقش های سخت گیرانه ای را انجام داده است. این مجموعه دستورات و اقدامات ساده طراحی سرور یا برنامه را ساده تر می کند: در صورت لزوم می توانید بلوک های فرمان شخصی جدا شوند و یک برنامه مربوطه ایجاد شود.
از طریق رسانه ، تیم سازگار یا یک خبرنامه امنیتی IT به یک حفره امنیتی تبدیل می شود. یا اگر حادثه حاد امنیتی شناخته شود ، همه کارمندان از طریق سیستم بلیط بلیط جیرا یا از طریق ایمیل مطلع می شوند. سیستم مدیریت آسیب پذیری ما نیز اعمال می شود. نمایندگان تیم های OPS و DEV به طور مشترک این واقعه را ارزیابی می کنند: آیا سوراخ امنیتی برای Adacor مناسب است؟ کدام پروژه های مشتری را می توان تحت تأثیر قرار داد؟ آنها سپس به سرعت کاتالوگ اقدامات را با توصیه هایی برای اقدام برای همه اعضای تیم آسیب دیده تهیه می کنند. این اقدامات تا زمانی که پرونده امنیتی برطرف نشود ، تحت بررسی قرار می گیرند.
رویکرد همکاری DevOps مسئولیت امنیت فناوری اطلاعات را تغییر می دهد
اقدامات امنیتی باید از مرحله اول در این فرآیند ادغام شوند. کلمه مصنوعی "DevSecOps" ایجاد شده است تا روشن شود که امنیت باید جزئی جدایی ناپذیر از کلیه ابتکارات DevOps باشد. این بدان معنی است که امنیت کاربرد و زیرساخت ها باید در مرحله مفهوم در نظر گرفته شود. برای تحمل سرعت زیاد گردش کار DevOps ، اتوماسیون ویژگی های امنیتی ضروری است. انتخاب ابزار مناسب نقش مهمی در ادغام موفقیت در امنیت DevOps دارد. به منظور ایجاد کارآمد و ایمن فرآیندها ، شرکتها مجبورند تغییراتی در فرهنگ سازمانی و طراحی مجدد ساختار تیمهای امنیتی ارائه دهند.
.
