بسیاری از شرکت ها از فناوری ظرف داکر استفاده می کنند. این پایدار از چرخه های توسعه سریعتر پشتیبانی می کند. نرم افزار منبع باز Kubernetes خود را برای مدیریت تعداد زیادی از ظروف – به اصطلاح ارکسترال – تاسیس کرده است. با این حال ، مأمورین رعایت یا امنیت در بسیاری از شرکت ها نگاهی جدی به آنچه فرصت های جدید را برای توسعه دهندگان ایجاد می کند ، دارند. به عنوان مثال ، IT Days 2019 در دسامبر 2019 به طور جدی با سؤالاتی در مورد فن آوری کانتینر و امنیت فناوری اطلاعات در یک پنل برخورد خواهد کرد. فن آوری کانتینر باعث تسریع در فرآیند های کاری ، آزمایش ، عملکرد تست ، چرخش و عملکرد تولید می شود. آنها برای جلوگیری از خرابی در امنیت فناوری اطلاعات ، نیاز به درک اساسی از فناوری دارند. ویژگی های امنیتی Kubernetes مانند کنترل دسترسی مبتنی بر نقش یا PodSecurityPolicy ، یک منبع اضافی برای کنترل دسترسی ، در اینجا کمک می کند. ابزار مفید دیگر CIS Kubernetes Benchmark است – مشابه CIS Docker Benchmark ، لیست مفیدی برای تهیه خوشه Kubernetes وجود دارد.
کار با میکرو سرویس ها همچنین برای فرآیندهای DevOps بسیار مهم است. مزیت این معماری پیوندها این است که بسته به نیازهای تغییر یافته ، ماژولهای جداگانه می توانند به سرعت جایگزین ، گسترش یا اقتباس شوند. با این حال ، مسئولیت امنیت محیط های IT هنگامی که شرکت ها فرآیندهای DevOps و میکرو سرویس ها را معرفی می کنند ، بطور قابل توجهی تغییر می کند. این همچنین نتیجه مطالعه "امنیت امنیتی در عصر میکروسرویس" توسط شرکت نرم افزاری Radware است. طبق گفته Radware ، اگر نقش عملیات توسعه امنیت (DevSecOps) به طور واضح مشخص نشده باشد ، این تغییر می تواند منجر به ایجاد شکاف های امنیتی جدید و خطرات بالاتر شود.
خلاصه: شرکت ها باید "فرهنگ DevSecOps" ایجاد کنند تا بتوانند از چابک استفاده کنند. برای اینکه بتوانید از فرآیندهای بدون خطر امنیت استفاده کنید.
7 نکته در مورد چگونگی ایجاد شرکتها فرهنگ DevSecOps
برای لنگر انداختن بطور مداوم توسعه از DevOps به DevSecOps در همه تیمها ، همه کارمندان باید فقط جنبه های تکنولوژیکی فرآیند را در نظر نگیرند.
نکته 1: با صراحت و شفاف ارتباط برقرار کنید!
با بحث های متقابل شروع کنید تا همه مدیران بخش های توسعه ، عملیات و امنیت را با هم جمع کنید. تراز هدف. درگیر سایر مدیران از حوزه های تجاری دیگر – به عنوان مثال فروش و بازاریابی – و درک عمیقی از DevSecOps برای همه کارمندان باشید.
نکته 2: پایه ای برای تبادل دانش و تجربه ایجاد کنید. [19659002] آموزش همه تیم ها در زمینه امنیت فناوری اطلاعات در فرآیندهای DevOps و ایجاد فرصت برای تبادل تجربه و به طور مرتب ارائه بهترین نمونه های عملی.
نکته 3: برای هر تیم یک کارشناس امنیتی تعیین کنید!
یک محیط حمایتی را برای این شخص ایجاد کنید تا آنها بتوانند اطلاعات امنیتی را در اختیار همه افراد حاضر در تیم قرار دهند. پروتکل های امنیتی و ممیزی دستورالعمل های امنیتی می توانند از کارشناسان امنیتی پشتیبانی کنند.
نکته 4: یک تجزیه و تحلیل ریسک و فایده را انجام دهید!
خطرات احتمالی را شناسایی کنید ، اظهاراتی در مورد احتمال وقوع ، برآورد کنید اثر و میزان خسارت را به همراه دارد و تحمل ریسک در شرکت یا پروژه شما را به وجود می آورد! انجام تحلیل های مربوط به ریسک ، یک بخش اساسی یک استراتژی امنیتی است.
نکته 5: برای تضمین کیفیت از ابزارهای تحلیل استفاده کنید!
تضمین کیفیت نامناسب می تواند منجر به هزینه های اضافی قابل توجهی برای پروژه های IT شود. درایورهای اصلی هزینه مشخصات فنی ناقص و ناقص و ابزارهای تحلیل ناقص هستند. ادغام اسکنرهای امنیتی برای ظروف و همچنین بررسی های امنیتی خودکار ، به روزرسانی ها و وصله ها می تواند کمک کند.
نکته 6: اندازه گیری های مناسب را اندازه بگیرید!
آیا با رویکرد DevOps خود موفق هستید یا موفق می شوید. فقط می توانید معیارهای امنیتی کافی را در این فرآیند ارزیابی کنید اگر می دانید که موارد درستی را اندازه گیری می کنید و همیشه هنگام مدیریت عملکرد DevOps به تمام شاخص های کلیدی عملکرد (KPI) توجه می کنید.
نکته 7: به طور منظم بررسی های کد را انجام دهید!
بررسی کد با ابزارهای اسکن می تواند به شما در بهبود مستمر پایه کد کمک کند و از آسیب پذیری در مراحل اولیه جلوگیری کند.
معرفی DevOps با استفاده از مثال Adacor
Adacor از اوایل سال 2019 با رویکرد DevSecOps همکاری می کند. جلسه امنیتی این روند را آغاز کرد. مدیریت و نمایندگان بخشهای مربوط به انطباق و بهره برداری برای تعیین شرایط عمومی و یک جدول زمان بندی برای معرفی ، گرد هم آمدند. سوئیچ قبلی به DevOps نیاز به ادغام امنیت فناوری اطلاعات در فرآیندهای چابک را نشان داده بود.
سازمان امنیت اطلاعات Adacor سپس خود را ترمیم کرد:
- اکنون یک منطقه مسئول استراتژی امنیتی است. کارمندان در آنجا تصمیم گیری های استراتژیک در مورد امنیت اطلاعات را با مشورت نزدیک با مدیریت ، کارمندان حوزه مدیریت امنیت اطلاعات و انطباق (ISM) و نمایندگان بخش های تخصصی اتخاذ می کنند.
- حوزه دیگری در سطح سازمانی فعالیت می کند. این تیم امنیتی اطلاعات با نمایندگان بخش های عملیاتی هماهنگ هستند – در Adacor اینها عملیات فناوری (TOP) ، عملیات شبکه (NOP) و عملیات مشتری (COP) – و همچنین با بخش های توسعه (DEV) و انطباق هستند. براساس تصمیمات استراتژیک ، آنها اجرای عملیاتی الزامات سازمانی در سیستمهای IT را هماهنگ می کنند.
در جلسات منظم ، همه افراد درگیر در این فرآیند اکنون از موضوعات امنیتی فعلی مطلع می شوند. تمرکز روی امنیت به عنوان یک واحد عملکردی متقاطع است.
DevSecOps در عمل
برای ادغام کامل امنیت (SEC) در رویکرد DevOps ، Adacor از ابزارهای توسعه دهنده استفاده می کند ، توضیحات فرآیند را ایجاد می کند و ابزارهایی را برای انتشار نقش های جدید به اجرا در می آورد. اتوماسیون نقش اساسی در رویکرد DevOps دارد. نظارت دائمی روی مؤلفه های مربوطه و اسکن های امنیتی خودکار ، تیم های آداکار را در مورد حملات ، پیام های خطا و نقص عملکرد در هنگام بهره برداری آگاه می کند.
Adacor دستورالعمل های سخت کاری را برای کلیه پروژه های IT داخلی ، به ویژه برای سیستم های IT با اطلاعات حساس تنظیم می کند. به راهنمای اجرای فنی امنیتی (STIG). در صورت لزوم ، آنها می توانند در پروژه های مشتری سازگار شوند. آداکور همچنین نقش های سخت گیرانه ای را انجام داده است. این مجموعه دستورات و اقدامات ساده طراحی سرور یا برنامه را ساده تر می کند: در صورت لزوم می توانید بلوک های فرمان شخصی جدا شوند و یک برنامه مربوطه ایجاد شود.
از طریق رسانه ، تیم سازگار یا یک خبرنامه امنیتی IT به یک حفره امنیتی تبدیل می شود. یا اگر حادثه حاد امنیتی شناخته شود ، همه کارمندان از طریق سیستم بلیط بلیط جیرا یا از طریق ایمیل مطلع می شوند. سیستم مدیریت آسیب پذیری ما نیز اعمال می شود. نمایندگان تیم های OPS و DEV به طور مشترک این واقعه را ارزیابی می کنند: آیا سوراخ امنیتی برای Adacor مناسب است؟ کدام پروژه های مشتری را می توان تحت تأثیر قرار داد؟ آنها سپس به سرعت کاتالوگ اقدامات را با توصیه هایی برای اقدام برای همه اعضای تیم مربوط تهیه می کنند. این اقدامات تا زمانی که پرونده امنیتی حل نشود ، در بررسی ها نظارت می شود.
رویکرد همکاری DevOps حوزه مسئولیت امنیت IT را تغییر می دهد
اقدامات امنیتی باید از مرحله اول در این پروسه ادغام شود. کلمه مصنوعی "DevSecOps" ایجاد شده است تا روشن شود که امنیت باید جزئی جدایی ناپذیر از کلیه ابتکارات DevOps باشد. این بدان معناست که امنیت کاربرد و زیرساخت ها باید از قبل در مرحله مفهوم مورد توجه قرار گیرد. برای تحمل سرعت زیاد گردش کار DevOps ، اتوماسیون ویژگی های امنیتی ضروری است. انتخاب ابزار مناسب نقش مهمی در ادغام موفقیت در امنیت DevOps دارد. به منظور ایجاد کارآمد و ایمن فرآیندها ، شرکتها مجبورند تغییراتی در فرهنگ سازمانی و طراحی مجدد ساختار تیمهای امنیتی ارائه دهند.
.
