بسیاری از شرکت ها از فناوری ظرف داکر استفاده می کنند. این به طور پایدار از چرخه های توسعه سریعتر پشتیبانی می کند. نرم افزار منبع باز Kubernetes خود را برای مدیریت تعداد زیادی از ظروف – به اصطلاح ارکسترال – تاسیس کرده است. با این حال ، مأمورین رعایت یا امنیت در بسیاری از شرکت ها نگاهی جدی به آنچه فرصت های جدید را برای توسعه دهندگان ایجاد می کند ، دارند. به عنوان مثال ، روزهای IT 2019 در دسامبر 2019 به طور جدی با سؤالاتی درباره فن آوری کانتینر و امنیت فناوری اطلاعات در یک پنل برخورد خواهد کرد. فن آوری کانتینر باعث تسریع در فرآیند های کاری ، آزمایش ، عملکرد تست ، چرخش و عملکرد تولید می شود. آنها برای جلوگیری از خرابی در امنیت فناوری اطلاعات ، به درک اساسی در مورد فناوری نیاز دارند. ویژگی های امنیتی Kubernetes مانند کنترل دسترسی مبتنی بر نقش (کنترل دسترسی مبتنی بر نقش) یا PodSecurityPolicy ، یک منبع اضافی برای کنترل دسترسی ، در این امر کمک می کند. ابزار مفید دیگر CIS Kubernetes Benchmark است – مشابه CIS Docker Benchmark لیست مفیدی برای تأمین خوشه Kubernetes وجود دارد.
کار با میکرو سرویس ها برای فرآیندهای DevOps نیز بسیار مهم است. مزیت این معماری پیوندها این است که بسته به نیازهای تغییر یافته ، ماژولهای جداگانه می توانند به سرعت جایگزین ، گسترش یا اقتباس شوند. با این حال ، مسئولیت امنیت محیط های IT هنگامی که شرکت ها فرآیندهای DevOps و خدمات خرد را معرفی می کنند ، بطور قابل توجهی تغییر می کند. این نتیجه مطالعه "امنیت برنامه در میکروسرویس عصر" توسط شرکت نرم افزاری Radware است. طبق گفته Radware ، اگر نقش عملیات توسعه امنیت (DevSecOps) به طور واضح مشخص نشده باشد ، این تغییر می تواند منجر به ایجاد شکاف های امنیتی جدید و خطرات بالاتر شود.
خلاصه: شرکت ها باید برای ایجاد استفاده کامل از چابک ، "فرهنگ DevSecOps" را ایجاد کنند.
7 نکته در مورد چگونگی ایجاد فرهنگ DevSecOps
برای لنگر انداختن گسترش DevOps به DevSecOps در تمام تیم ها ، همه کارمندان نباید فقط جنبه های تکنولوژیکی فرآیند را در نظر بگیرند.
نکته 1: با صراحت و شفاف ارتباط برقرار کنید!
با بحث های متقابل شروع کنید تا همه مدیران توسعه ، بهره برداری و امنیت به یک امر مشترک برسند. تراز هدف. مشاغل دیگر از حوزه های تجاری – از جمله فروش و بازاریابی – را درگیر کنید و درک عمیق DevSecOps را در بین همه کارمندان بدست آورید.
نکته 2: مبانی برای به اشتراک گذاری دانش و اشتراک گذاری ایجاد کنید! [19659002] آموزش تمام تیم های امنیتی IT در فرآیندهای DevOps و ایجاد فرصت هایی برای به اشتراک گذاشتن تجربیات و ارائه به طور مرتب نمونه های برتر تمرین.
نکته شماره 3: یک متخصص امنیتی را برای هر تیم تعیین کنید!
یک محیط حمایتی را برای این شخص ایجاد کنید تا آنها بتوانند اطلاعات امنیتی را در اختیار همه افراد حاضر در تیم قرار دهند. پروتکل های امنیتی و ممیزی دستورالعمل های امنیتی می توانند از کارشناسان امنیتی پشتیبانی کنند.
نکته 4: یک تجزیه و تحلیل ریسک و فایده را انجام دهید!
خطرات احتمالی را شناسایی کنید ، بیانیه هایی در مورد احتمال وقوع ، تخمین بزنید اثر و میزان خسارت را به همراه دارد و تحمل ریسک در شرکت یا پروژه شما را به وجود می آورد! انجام تحلیل های مربوط به ریسک ، بخشی جدایی ناپذیر از یک استراتژی امنیتی است.
نکته 5: از ابزارهای تحلیل کیفیت اطمینان استفاده کنید!
تضمین کیفیت ضعیف می تواند منجر به هزینه های اضافی قابل توجهی برای پروژه های IT شود. درایورهای اصلی هزینه مشخصات نادرست و ناقص مشخصات و ابزارهای تحلیل ناقص هستند. ادغام اسکنرهای امنیتی برای ظروف و بررسیهای امنیتی خودکار ، به روزرسانیها و وصله ها می تواند کمک کند.
نکته 6: اندازه گیری های مناسب را اندازه بگیرید!
آیا با رویکرد DevOps خود موفق باشید و موفق شوید ، شما فقط می توانید معیارهای امنیتی کافی را در این فرآیند ارزیابی کنید اگر می دانید که در حال اندازه گیری موارد صحیح هستید و همواره هنگام مدیریت عملکرد DevOps به تمام شاخص های کلیدی عملکرد (KPI) توجه می کنید.
نکته 7: به طور منظم بررسی های کد را انجام دهید!
بررسی کد با ابزارهای اسکن می تواند به شما در بهبود مستمر پایه کد کمک کند و از آسیب پذیری در مراحل اولیه جلوگیری کند.
معرفی DevOps با استفاده از مثال Adacor
Adacor از اوایل سال 2019 با رویکرد DevSecOps همکاری می کند. جلسه امنیتی این روند را آغاز کرد. مدیریت و نمایندگان ادارات مربوط به انطباق و عملیات برای تعیین شرایط عمومی و برنامه زمان بندی مقدمات ، جلسه داشتند. حرکت قبلی به DevOps ، نیاز به یکپارچه سازی کامل امنیت فناوری اطلاعات را در فرآیندهای چابک نشان داد.
سازمان امنیت اطلاعات Adacor در نتیجه سازماندهی مجدد شد:
- اکنون یک منطقه مسئول استراتژی امنیتی است. کارمندان آنجا با مشورت نزدیک با مدیریت ، کارمندان حوزه مدیریت امنیت و انطباق اطلاعات (ISM) و نمایندگان بخش های تخصصی تصمیم گیری های استراتژیک در مورد امنیت اطلاعات می گیرند.
- حوزه دیگری در سطح سازمانی فعالیت می کند. این تیم امنیتی اطلاعات با نمایندگان بخش های عملیات هماهنگ می شوند – در Adacor اینها عملیات فناوری (TOP) ، عملیات شبکه (NOP) و عملیات مشتری (COP) – و همچنین با بخش های توسعه (DEV) و انطباق هستند. بر اساس تصمیمات استراتژیک ، آنها اجرای عملیاتی الزامات سازمانی در سیستمهای IT را هماهنگ می کنند.
در جلسات منظم ، همه افراد درگیر در این فرایند اکنون از موضوعات امنیتی فعلی مطلع می شوند. این تمرکز بر امنیت به عنوان یک واحد عملکردی متقاطع است.
DevSecOps in Practice
به منظور ادغام کامل امنیت (SEC) در رویکرد DevOps ، Adacor از ابزارهای توسعه دهنده استفاده می کند ، توضیحات فرآیند را ایجاد می کند و ابزارهایی برای انتشار نقش های جدید دارد. اتوماسیون نقش اساسی در رویکرد DevOps دارد. نظارت دائمی روی مؤلفه های مربوطه و اسکن های امنیتی خودکار ، تیم ها را از Adacor در مورد حملات ، پیام های خطا و نقص عملکرد در هنگام بهره برداری آگاه می کند.
Adacor دستورالعمل های سخت گیری را برای کلیه پروژه های IT داخلی ، به ویژه برای سیستم های IT با اطلاعات حساس تنظیم می کند. به یک راهنمای اجرای فنی امنیتی (STIG). در صورت لزوم ، آنها می توانند در پروژه های مشتری سازگار شوند. آداکور همچنین نقش های سخت گیرانه ای را انجام داده است. این مجموعه دستورات و اقدامات باعث تسهیل در طراحی سرور یا برنامه می شود: بلوک های فرمان شخصی در صورت لزوم قابل حذف هستند و یک جدول زمانی مربوطه طراحی شده است.
از طریق رسانه ، تیم سازگار یا یک خبرنامه امنیتی IT به یک آسیب پذیری امنیتی تبدیل می شود. یا اگر حادثه حاد امنیتی شناخته شود ، همه کارمندان از طریق سیستم بلیط بلیط جیرا یا از طریق ایمیل مطلع می شوند. سیستم مدیریت آسیب پذیری ما نیز اعمال می شود. نمایندگان تیم های OPS و DEV به طور مشترک این واقعه را ارزیابی می کنند: آیا سوراخ امنیتی برای Adacor مناسب است؟ کدام پروژه های مشتری را می توان تحت تأثیر قرار داد؟ آنها سپس به سرعت کاتالوگ اقدامات را با توصیه هایی برای اقدام برای همه اعضای تیم آسیب دیده تهیه می کنند. این اقدامات تا زمانی که پرونده امنیتی برطرف نشود ، تحت بررسی قرار می گیرند.
رویکرد همکاری DevOps مسئولیت امنیت فناوری اطلاعات را تغییر می دهد
اقدامات امنیتی باید از مرحله اول در این فرآیند ادغام شوند. کلمه مصنوعی "DevSecOps" ایجاد شده است تا روشن شود که امنیت باید جزئی جدایی ناپذیر از کلیه ابتکارات DevOps باشد. این بدان معنی است که امنیت کاربرد و زیرساخت ها باید در مرحله مفهوم در نظر گرفته شود. برای تحمل سرعت زیاد گردش کار DevOps ، اتوماسیون ویژگی های امنیتی ضروری است. انتخاب ابزار مناسب نقش مهمی در ادغام موفقیت در امنیت DevOps دارد. برای اینکه فرآیندهای کارآمد و ایمن به طور همزمان انجام شوند ، شرکت ها باید تغییراتی در فرهنگ سازمانی و طراحی مجدد ساختار تیم های امنیتی ارائه دهند.
