بسیاری از شرکت ها با فناوری ظرف داکر کار می کنند. این به طور پایدار از چرخه های توسعه سریعتر پشتیبانی می کند. نرم افزار منبع باز Kubernetes خود را برای مدیریت تعداد زیادی از ظروف – به اصطلاح ارکسترال – تاسیس کرده است. با این حال ، مأمورین رعایت یا امنیت در بسیاری از شرکت ها نگاهی جدی به آنچه فرصت های جدید را برای توسعه دهندگان ایجاد می کند ، دارند. به عنوان مثال ، روزهای IT 2019 در دسامبر 2019 به طور جدی با سؤالاتی درباره فن آوری کانتینر و امنیت فناوری اطلاعات در یک پنل برخورد خواهد کرد. فن آوری کانتینر باعث تسریع در فرآیند های کاری ، آزمایش ، عملکرد تست ، چرخش و عملکرد تولید می شود. آنها برای جلوگیری از خرابی در امنیت فناوری اطلاعات ، به درک اساسی در مورد فناوری نیاز دارند. ویژگی های امنیتی Kubernetes مانند کنترل دسترسی مبتنی بر نقش یا PodSecurityPolicy ، یک منبع اضافی برای کنترل دسترسی ، در این امر کمک می کند. ابزار مفید دیگر CIS Kubernetes Benchmark است – مشابه CIS Docker Benchmark ، لیست مفیدی برای تهیه خوشه Kubernetes وجود دارد.
کار با میکرو سرویس ها همچنین برای فرآیندهای DevOps بسیار مهم است. مزیت این معماری های پیوند این است که بسته به نیازهای تغییر یافته ، ماژولهای جداگانه می توانند به سرعت جایگزین ، گسترش یا اقتباس شوند. با این حال ، مسئولیت امنیت محیط های IT هنگامی که شرکت ها فرآیندهای DevOps و خدمات خرد را معرفی می کنند ، بطور قابل توجهی تغییر می کند. این نتیجه مطالعه "امنیت برنامه در میکروسرویس عصر" توسط شرکت نرم افزاری Radware است. طبق گفته Radware ، اگر نقش عملیات توسعه امنیت (DevSecOps) به طور واضح مشخص نشده باشد ، این تغییر می تواند منجر به ایجاد شکاف های امنیتی جدید و خطرات بالاتر شود.
خلاصه: شرکت ها باید برای ایجاد استفاده کامل از چابک ، "فرهنگ DevSecOps" را ایجاد کنند. برای اینکه بتوانید از فرآیندهای بدون خطر امنیت استفاده کنید.
7 نکته در مورد چگونگی ایجاد شرکتها فرهنگ DevSecOps
برای اینکه به طور مداوم گسترش لایه های توسعه از DevOps به DevSecOps را در همه تیم ها لنگر بزنید ، همه کارمندان باید فقط جنبه های فناوری فرآیند را در نظر نگیرند.
نکته 1: با صراحت و شفاف ارتباط برقرار کنید!
با بحث های متقابل شروع کنید تا همه مدیران بخش های توسعه ، عملیات و امنیت را گرد هم آورید. تراز هدف. مشاغل دیگر را در حوزه های مشاغل دیگر درگیر کنید – به عنوان مثال فروش و بازاریابی – و درک عمیقی از DevSecOps برای همه کارمندان بدست آورید.
نکته 2: پایه ای برای تبادل دانش و تجربه ایجاد کنید. [19659002] آموزش همه تیم ها در زمینه امنیت فناوری اطلاعات در فرآیندهای DevOps و ایجاد فرصت هایی برای تبادل تجربیات و ارائه نمونه های برتر به طور مرتب.
نکته 3: یک متخصص امنیتی را برای هر تیم تعیین کنید!
یک محیط حمایتی را برای این شخص ایجاد کنید تا آنها بتوانند اطلاعات امنیتی را در اختیار همه افراد حاضر در تیم قرار دهند. پروتکل های امنیتی و ممیزی دستورالعمل های امنیتی می توانند از کارشناسان امنیتی پشتیبانی کنند.
نکته 4: یک تجزیه و تحلیل ریسک و فایده را انجام دهید!
خطرات احتمالی را شناسایی کنید ، بیانیه هایی در مورد احتمال وقوع ، تخمین بزنید اثر و میزان خسارت را به همراه دارد و تحمل ریسک در شرکت یا پروژه شما را به وجود می آورد! اجرای تحلیلهای مربوط به ریسک ، یک بخش اساسی یک استراتژی امنیتی است.
نکته 5: برای تضمین کیفیت از ابزارهای تحلیل استفاده کنید!
تضمین کیفیت نامناسب می تواند منجر به هزینه های اضافی قابل توجهی برای پروژه های IT شود. درایورهای اصلی هزینه ها مشخصات لازم و ناقص و ابزارهای تحلیل ناقص هستند. ادغام اسکنرهای امنیتی برای ظروف و همچنین بررسی های امنیتی خودکار ، به روزرسانی ها و وصله ها می تواند کمک کند.
نکته 6: اندازه گیری های مناسب را اندازه بگیرید!
آیا با رویکرد DevOps خود موفق هستید یا موفق می شوید. شما فقط می توانید معیارهای امنیتی کافی را در این فرآیند ارزیابی کنید اگر می دانید که در حال اندازه گیری موارد صحیح هستید و همواره هنگام مدیریت عملکرد DevOps به تمام شاخص های کلیدی عملکرد (KPI) توجه می کنید.
نکته 7: به طور مرتب بررسی های کد را انجام دهید!
بررسی کد با ابزار اسکن می تواند به شما در بهبود مستمر پایه کد کمک کند و از آسیب پذیری ها در مرحله اولیه جلوگیری کند.
معرفی DevOps با استفاده از مثال Adacor
Adacor از اوایل سال 2019 با رویکرد DevSecOps همکاری می کند. یک جلسه امنیتی آغاز این روند بود. مدیریت و نمایندگان بخشهای مربوط به انطباق و بهره برداری برای تعیین چارچوب و نقشه راه برای معرفی ، گرد هم آمدند. سوئیچ قبلی به DevOps نیاز به ادغام امنیت فناوری اطلاعات را با شدت بیشتری در فرآیندهای چابک نشان داده بود.
سازمان امنیت اطلاعات در Adacor سپس خود را ترمیم کرد:
- اکنون یک منطقه مسئول استراتژی امنیتی است. کارمندان آنجا با مشورت نزدیک با مدیریت ، کارمندان حوزه مدیریت امنیت و انطباق اطلاعات (ISM) و نمایندگان بخش های تخصصی تصمیم گیری های استراتژیک در مورد امنیت اطلاعات می گیرند.
- حوزه دیگری در سطح سازمانی فعالیت می کند. این تیم امنیتی اطلاعات با نمایندگان بخش های عملیات هماهنگ می شوند – در Adacor اینها عملیات فناوری (TOP) ، عملیات شبکه (NOP) و عملیات مشتری (COP) – و همچنین با بخش های توسعه (DEV) و انطباق هستند. بر اساس تصمیمات استراتژیک ، آنها اجرای عملیاتی الزامات سازمانی در سیستمهای IT را هماهنگ می کنند.
در جلسات منظم ، همه افراد درگیر در این فرآیند اکنون از موضوعات امنیتی فعلی مطلع می شوند. تمرکز روی امنیت به عنوان یک واحد عملکردی متقاطع است.
DevSecOps در عمل
برای ادغام کامل امنیت (SEC) در رویکرد DevOps ، Adacor از ابزارهای توسعه دهنده استفاده می کند ، توصیف های فرآیند را ایجاد می کند و ابزارهایی را برای انتشار نقش های جدید به اجرا در می آورد. اتوماسیون نقش اساسی در رویکرد DevOps دارد. نظارت دائمی روی مؤلفه های مربوطه و اسکن های امنیتی خودکار ، تیم ها را از Adacor در مورد حملات ، پیام های خطا و نقص عملکرد در هنگام بهره برداری آگاه می کند.
Adacor دستورالعمل های سخت گیری را برای کلیه پروژه های IT داخلی ، به ویژه برای سیستم های IT با اطلاعات حساس تنظیم می کند. به یک راهنمای اجرای فنی امنیتی (STIG). در صورت لزوم ، آنها می توانند در پروژه های مشتری سازگار شوند. آداکور همچنین نقش های سخت گیرانه ای را انجام داده است. این مجموعه دستورات و اقدامات ساده طراحی سرور یا برنامه را ساده می کند: در صورت لزوم می توانید بلوک های فرمان شخصی جدا شوند و یک برنامه مربوطه ایجاد شود.
از طریق رسانه ، تیم سازگار یا یک خبرنامه امنیتی IT به یک حفره امنیتی تبدیل می شود. یا اگر حادثه حاد امنیتی شناخته شود ، همه کارمندان از طریق سیستم بلیط بلیط جیرا یا از طریق ایمیل مطلع می شوند. سیستم مدیریت آسیب پذیری ما نیز اعمال می شود. نمایندگان تیم های OPS و DEV به طور مشترک این واقعه را ارزیابی می کنند: آیا سوراخ امنیتی برای Adacor مناسب است؟ کدام پروژه های مشتری را می توان تحت تأثیر قرار داد؟ آنها سپس به سرعت کاتالوگ اقدامات را با توصیه هایی برای اقدام برای همه اعضای تیم مربوط تهیه می کنند. این اقدامات تا زمانی که پرونده امنیتی حل نشود ، تحت بررسی قرار می گیرند.
رویکرد همکاری DevOps حوزه مسئولیت امنیت IT را تغییر می دهد
اقدامات امنیتی باید از مرحله اول در این فرآیند ادغام شود. کلمه مصنوعی "DevSecOps" ایجاد شده است تا روشن شود که امنیت باید جزئی جدایی ناپذیر از تمام ابتکارات DevOps باشد. این بدان معناست که از قبل کاربرد و امنیت زیرساخت ها باید در مرحله مفهوم مورد توجه قرار گیرد. برای تحمل سرعت زیاد گردش کار DevOps ، اتوماسیون ویژگی های امنیتی ضروری است. انتخاب ابزار مناسب نقش مهمی در ادغام موفقیت در امنیت DevOps دارد. به منظور ایجاد کارآمد و ایمن فرآیندها ، شرکتها مجبورند تغییراتی در فرهنگ سازمانی و طراحی مجدد ساختار تیمهای امنیتی ارائه دهند.
.
