بسیاری از شرکت ها با فناوری ظرف داکر کار می کنند. این به طور پایدار از چرخه های توسعه سریعتر پشتیبانی می کند. نرم افزار منبع باز Kubernetes خود را برای مدیریت تعداد زیادی از ظروف – به اصطلاح ارکسترال – تاسیس کرده است. با این حال ، مأمورین رعایت یا امنیت در بسیاری از شرکت ها نگاهی جدی به آنچه فرصت های جدید را برای توسعه دهندگان ایجاد می کند ، دارند. به عنوان مثال ، روزهای IT 2019 در دسامبر 2019 به طور جدی با سؤالاتی در مورد فن آوری کانتینر و امنیت فناوری اطلاعات در یک پنل برخورد خواهد کرد. فن آوری کانتینر باعث تسریع در فرآیند های کاری ، آزمایش ، عملکرد تست ، چرخش و عملکرد تولید می شود. آنها برای جلوگیری از خرابی در امنیت فناوری اطلاعات ، نیاز به درک اساسی از فناوری دارند. ویژگی های امنیتی Kubernetes مانند کنترل دسترسی مبتنی بر نقش یا PodSecurityPolicy ، یک منبع اضافی برای کنترل دسترسی ، در اینجا کمک می کند. ابزار مفید دیگر CIS Kubernetes Benchmark است – مشابه CIS Docker Benchmark ، لیست مفیدی برای تهیه خوشه Kubernetes وجود دارد.
کار با میکرو سرویس ها همچنین برای فرآیندهای DevOps بسیار مهم است. مزیت این معماری پیوندها این است که بسته به نیازهای تغییر یافته ، ماژولهای جداگانه می توانند به سرعت جایگزین ، گسترش یا اقتباس شوند. با این حال ، مسئولیت امنیت محیط های IT هنگامی که شرکت ها فرآیندهای DevOps و میکرو سرویس ها را معرفی می کنند ، بطور قابل توجهی تغییر می کند. این همچنین نتیجه مطالعه "امنیت امنیتی در عصر میکروسرویس" توسط شرکت نرم افزاری Radware است. طبق گفته Radware ، اگر نقش عملیات توسعه امنیت (DevSecOps) به طور واضح مشخص نشده باشد ، این تغییر می تواند منجر به ایجاد شکاف های امنیتی جدید و خطرات بالاتر شود.
خلاصه: شرکت ها باید "فرهنگ DevSecOps" ایجاد کنند تا بتوانند از چابک استفاده کنند. برای اینکه بتوانید از فرآیندهای بدون خطر امنیت استفاده کنید.
7 نکته در مورد چگونگی ایجاد شرکتها یک فرهنگ DevSecOps
برای اینکه بطور مداوم توسعه لایه های توسعه از DevOps به DevSecOps را در همه تیم ها لنگر بزنید ، همه کارکنان باید فقط جنبه های فناوری فرآیند را در نظر نگیرند.
نکته 1: با صراحت و شفاف ارتباط برقرار کنید!
با بحث های متقابل شروع کنید تا همه مدیران بخش های توسعه ، عملیات و امنیت را با هم جمع کنید. تراز هدف. مشاغل دیگر را در حوزه های مشاغل دیگر درگیر کنید – به عنوان مثال فروش و بازاریابی – و درک عمیقی از DevSecOps برای همه کارمندان بدست آورید.
نکته 2: پایه ای برای تبادل دانش و تجربه ایجاد کنید. [19659002] آموزش همه تیم ها در زمینه امنیت فناوری اطلاعات در فرآیندهای DevOps و ایجاد فرصت هایی برای به اشتراک گذاشتن تجربیات و ارائه به طور مرتب نمونه های برتر تمرین.
نکته 3: برای هر تیم یک کارشناس امنیتی تعیین کنید!
یک محیط حمایتی را برای این شخص ایجاد کنید تا آنها بتوانند اطلاعات امنیتی را در اختیار همه افراد حاضر در تیم قرار دهند. پروتکل های امنیتی و ممیزی دستورالعمل های امنیتی می توانند از کارشناسان امنیتی پشتیبانی کنند.
نکته 4: یک تجزیه و تحلیل ریسک و فایده را انجام دهید!
خطرات احتمالی را شناسایی کنید ، اظهاراتی در مورد احتمال وقوع ، برآورد کنید اثر و میزان خسارت را به همراه دارد و تحمل ریسک در شرکت یا پروژه شما را به وجود می آورد! اجرای تحلیلهای مربوط به ریسک ، یک بخش اساسی یک استراتژی امنیتی است.
نکته 5: برای اطمینان از کیفیت از ابزارهای تحلیل استفاده کنید!
تضمین کیفیت نامناسب می تواند منجر به هزینه های اضافی قابل توجهی برای پروژه های IT شود. درایورهای اصلی هزینه مشخصات فنی ناقص و ناقص و ابزارهای تحلیل ناقص هستند. ادغام اسکنرهای امنیتی برای ظروف و همچنین بررسی های امنیتی خودکار ، به روزرسانی ها و وصله ها می تواند کمک کند.
نکته 6: اندازه گیری های مناسب را اندازه بگیرید! فقط می توانید معیارهای امنیتی کافی را در این فرآیند ارزیابی کنید اگر می دانید که موارد درستی را اندازه گیری می کنید و همیشه هنگام مدیریت عملکرد DevOps به تمام شاخص های کلیدی عملکرد (KPI) توجه می کنید.
نکته 7: به طور منظم بررسی های کد را انجام دهید!
بررسی کد با ابزارهای اسکن می تواند به شما در بهبود مستمر پایه کد کمک کند و از آسیب پذیری در مراحل اولیه جلوگیری کند.
معرفی DevOps با استفاده از مثال Adacor
Adacor از اوایل سال 2019 با رویکرد DevSecOps همکاری می کند. جلسه امنیتی این روند را آغاز کرد. مدیریت و نمایندگان ادارات مربوط به انطباق و بهره برداری برای تعیین چارچوب و نقشه راه برای معرفی ملاقات كردند. سوئیچ قبلی به DevOps نیاز به ادغام امنیت فناوری اطلاعات را با شدت بیشتری در فرآیندهای چابک نشان داده بود.
سازمان امنیت اطلاعات در Adacor سپس خود را بازسازی کرد:
- اکنون یک منطقه مسئول استراتژی امنیتی است. کارمندان در آنجا با مشورت نزدیک با مدیریت ، کارمندان حوزه مدیریت و رعایت امنیت اطلاعات و نمایندگان بخشهای ویژه تصمیمات استراتژیک می گیرند.
- حوزه دیگری در سطح سازمانی فعالیت می کند. این تیم امنیتی اطلاعات با نمایندگان بخش های عملیات هماهنگ می شوند – در Adacor اینها عملیات فناوری (TOP) ، عملیات شبکه (NOP) و عملیات مشتری (COP) هستند – همچنین با بخشهای توسعه (DEV) و انطباق. براساس تصمیمات استراتژیک ، آنها اجرای عملیاتی الزامات سازمانی در سیستمهای IT را هماهنگ می کنند.
در جلسات منظم ، همه افراد درگیر در این فرآیند اکنون از موضوعات امنیتی فعلی مطلع می شوند. تمرکز روی امنیت به عنوان یک واحد عملکردی متقاطع است.
DevSecOps در عمل
برای ادغام کامل امنیت (SEC) در رویکرد DevOps ، Adacor از ابزارهای توسعه دهنده استفاده می کند ، توضیحات فرآیند را ایجاد می کند و ابزارهایی را برای انتشار نقش های جدید به اجرا در می آورد. اتوماسیون نقش اساسی در رویکرد DevOps دارد. نظارت دائمی روی مؤلفه های مربوطه و اسکن های امنیتی خودکار ، تیم ها را از Adacor در مورد حملات ، پیام های خطا و نقص عملکرد در هنگام بهره برداری آگاه می کند.
Adacor دستورالعمل های سخت کاری را برای کلیه پروژه های IT داخلی ، به ویژه برای سیستم های IT با اطلاعات حساس تنظیم می کند. به راهنمای اجرای فنی امنیتی (STIG). در صورت لزوم ، آنها می توانند در پروژه های مشتری سازگار شوند. آداکور همچنین نقش های سخت گیرانه ای را انجام داده است. این مجموعه دستورات و اقدامات ساده طراحی سرور یا برنامه را ساده تر می کند: در صورت لزوم می توانید بلوک های فرمان شخصی جدا شوند و یک برنامه مربوطه ایجاد شود.
از طریق رسانه ، تیم سازگار یا یک خبرنامه امنیتی IT به یک حفره امنیتی تبدیل می شود. یا اگر حادثه حاد امنیتی شناخته شود ، همه کارمندان از طریق سیستم بلیط بلیط جیرا یا از طریق ایمیل مطلع می شوند. سیستم مدیریت آسیب پذیری ما نیز اعمال می شود. نمایندگان تیم های OPS و DEV به طور مشترک این واقعه را ارزیابی می کنند: آیا سوراخ امنیتی برای Adacor مناسب است؟ کدام پروژه های مشتری را می توان تحت تأثیر قرار داد؟ آنها سپس به سرعت کاتالوگ اقدامات را با توصیه هایی برای اقدام برای همه اعضای تیم مربوط تهیه می کنند. این اقدامات تا زمانی که پرونده امنیتی برطرف نشود ، تحت بررسی قرار می گیرند.
رویکرد همکاری DevOps مسئولیت امنیت فناوری اطلاعات را تغییر می دهد
اقدامات امنیتی باید از مرحله اول در این فرآیند ادغام شوند. کلمه مصنوعی "DevSecOps" ایجاد شده است تا روشن شود که امنیت باید جزئی جدایی ناپذیر از کلیه ابتکارات DevOps باشد. این بدان معنی است که امنیت کاربردها و زیرساخت ها باید از قبل در مرحله مفهوم مورد توجه قرار گیرند. برای تحمل سرعت زیاد گردش کار DevOps ، اتوماسیون ویژگی های امنیتی ضروری است. انتخاب ابزار مناسب نقش مهمی در ادغام موفقیت در امنیت DevOps دارد. به منظور ایجاد کارآمد و ایمن فرآیندها ، شرکتها مجبورند تغییراتی در فرهنگ سازمانی و طراحی مجدد ساختار تیمهای امنیتی ارائه دهند.
.
