Восприятие DevOps и его роль в ИТ-индустрии изменились за последние пять лет из-за исследований, усыновлений и экспериментов. Ускорение: наука о Sucre Software и DevOps Gene Kim, Jez Humble, и Nicole Forsgren делает прогнозы, поддерживающие данные о том, как DEVOPS принципы и практики дают лучшее программное обеспечение практически любым измеримым способом и более успешным предприятиям. Их исследования, наряду с другими, такими как Джеймс Виктт и Джош Корманн, бывший CTO Sonartype и уважаемый исследователь информационной безопасности, сосредоточился вокруг концепции включения информации Безопасность Цели в DevOps (набор практик и принципов, которые они называли «прочным дежом»). Dr. Tapabrata PAL, Директор и Платформа Инженерные техники в столичном учреждении, придумали подобные идеи и описали свои процессы в качестве DevOpsSEC, рассеяв миф, что DevOps и System Security являются ортогональными.
На самом деле, это противоположное. Дежол практики сделано правильно Увеличивает безопасность системы таким же образом, что непрерывная доставка увеличивает стабильность.
Три способа DEVOPS описывают непрерывную доставку, производство для развития обратной связи и постоянное обучение. Непрерывная доставка требует разработки программного обеспечения постепенно небольшими изменениями и проверки каждого изменения с автоматическим Тесты на трубопроводе развертывания Отказ Компьютеризированный трубопровод предлагает команды несколько способов повышения безопасности по сравнению с разработкой программного обеспечения без автоматического трубопровода развертывания.
Проблемы безопасности похожи на любую другую регрессию программного обеспечения. Они могут быть проверены, чтобы они не встречались в производстве. Есть несколько способов применения автоматизированного тестирования в Infosec:
- Сканировать контейнер или VM-изображения для известных уязвимостей программного обеспечения и проваливаться, которые содержат известные проблемные пакеты
- Запустите инструменты статического анализа для вызовов на потенциально опасные системные вызовы и вызовываются соответственно сборки
- Код LINT для простых текстовых секретов, таких как токены API или SSH-ключей и выгодные сборки как следствие
- Запустите сквозные тесты, как и из Oswap против строительных артефактов
Добавление этих тестов на трубопровод развертывания значительно увеличивает безопасность, поскольку она автоматизирована: это известно как « Shift Left ». IT обеспечивает безопасность программного обеспечения, автоматически безопасна с начала, автоматически и на протяжении всего трубопровода.
Организации часто не имеют достаточно инженеров Infosec. Это создает негативные последствия, поскольку проверки Infosec подталкиваются до конца процесса и могут произойти только при достаточном возможностях. Считайте на мгновение, просто используя существующий автоматизированный тестовый набор, когда в команде был дополнительный инженер. Принимая это предложение для автоматизированного функционального тестирования, смешно в современном его, зачем давать то же самое для тестирования Infosec? Добавление испытаний Infosec на трубопровод проверяет каждое изменение и масштабирует с помощью организации. Трубопровод развертывания — большая сила для изменений, чем несколько инженеров. Что еще более важно, добавление тестов разоблачает проблемы всем и сдвигают ответственность за автор Кодекса для исправления регрессии.
Автоматизированные тесты Убедитесь, что известные регрессии не вступают в добычу. Однако они не охраняют от атак и других вредоносных действий в производстве. Команды должны отслеживать и предупреждать о телеметрических данных, которые указывают на вредоносную активность или другие красные флаги в производстве. Это второй способ Девеса, который устанавливает обратную связь от производства до развития. У команды уже есть производственная телеметрия для задержки, подсчета запросов и активных пользователей, и т. Д., Так хорошо интегрирована телеметрия Infosec. Примеры включают в себя:
- SSH-соединения
- Вход пользователя
- Пароль сбрасывает
- Злонамеренные SQL-запросы
- Необработанные запросы, которые могут указывать на пробное или другую вредоносную активность
- Адрес электронной почты (или дополнительная информация о входе) изменения
- Изменения информации о выплате или платеже
- Группа безопасности инфраструктуры или межведование
- XSS атаки
- Изменения инфраструктуры, такие как сеть, новые пользователи системы или модифицированные файловые контрольные суммы
- Эскалация привилегии (например, зонзы Sudo)
Этот вид телеметрических данных имеет решающее значение для понимания того, как используется система в производстве. Исходя из этого понимания, команды могут быть действием, добавляя регрессионные тесты на трубопровод, выявленные потенциальные проблемы, что привело к повышенной полости безопасности для производства. Что еще более важно, это увеличивает видимость. Изменения безопасности с большей вероятностью возникают, когда команда осознает, что они под атакой.
Ник Галбертон от Etsy Echoes Это настроение после графической безопасности Телеметрия:
Одним из результатов отображения этого графика заключалась в том, что разработчики поняли, что их все время атаковали! И это было потрясающе, потому что он изменил, как разработчики думали о безопасности их кода, когда они пишут код.
Эта практика также содействует сценариям СПИДа, где предварительно производственные испытания и проверки соответствия недостаточно. Ускорение включает в себя тревожное исследование поставщика поставщика, который демонстрирует ценность продукции продукции Infosec Telemetry. Заметили, что их банкоматы были введены в режим обслуживания при внепланированных временах. Это позволило злоумышленнику физически извлечь наличные деньги с машины. Разработчик установил бэкдор лет назад. По-видимому, бэкдоры этого типа сложно или почти невозможно обнаружить заранее. Однако производственная телеметрия обнаружила аномалию и предупредила команду. Команда активно обнаружила мошенничество и решила вопрос до запланированного процесса кассового аудита.
Эти примеры демонстрируют, насколько деформируются практики повышения безопасности системы. Во-первых, как любой другой аспект программного обеспечения, добавьте автоматические тесты на трубопровод развертывания. Во-вторых, добавьте производственную телеметрию до производства до прямых изменений в разработке. Третий путь призывает к обучению и экспериментам для дальнейшего улучшения процесса разработки программного обеспечения. К сожалению, иногда команды будут пропустить этот аспект. DEVOPS устанавливает петли обратной связи, а третий способ постоянно совершенствует их для уменьшения трубы, уменьшения ошибок и/или адаптироваться к изменению условий.
Соответствие и аудит является распространенным болевым пунктом. Он замедляет процесс, поскольку документация должна быть произведена, и требуются ручные отзывы. Это не должно остановить процесс. Автоматизация может значительно улучшить процесс соблюдения и аудита, удаляя труд. Google Sre Book Определяет трубку как «вид работы, связанной с управлением производственной службой, которая имеет тенденцию быть ручным, повторяющимся, автоматическим, тактическим, лишенным устойчивым значением, а также, что весы линейно в качестве сервиса. » Ускорение включает в себя тематическое исследование 18F и Cloud.gov.
Тематическое исследование демонстрирует государственную организацию, осуществляющую автоматизированный процесс для написания планов безопасности системы (SSP) и получения права на работу из назначенного органа. Планы SSP должны быть рассмотрены. Они часто стойки и очень подробно. Создание и поддержание их вручную невозможно в динамической облачной среде. 18F создал инструмент, который автоматически генерирует SSP в YML, который может быть преобразован в PDFS или опубликован в виде GitBooks для внутреннего и внешнего обзора, сохраняя неизмеримые количества человеко-часов (и увеличение счастья в процессе). Частный сектор IT компании, как правило, имеют более расслабленный уровень регулирования. Независимо от того, одинаковые методы соблюдения и аудита могут быть и должны быть использованы для снижения постоянных усилий и труда.
Аналогичные подходы могут быть использованы в режиме ожидания и процессов соответствия. Учитывая производственные телеметрические системы содержат данные Infosec, они могут подвергаться воздействию аудиторов самообслуживания во время обзоров. Аудиторы могут проверить контроль, как подходящее ведение журнала или определенного обработки событий. Трубопровод развертывания также обеспечивает полную историю изменения для приложения в производстве. Можно генерировать отчеты о соответствии с использованием кода, трубопровода развертывания и другой автоматизации. Этот подход снова снижает труд для всех вовлеченных, повышает точность, а в идеале приводит к более завершенным аудитам.
DevOps — лучший способ для современного его создания, тестирования и судна программного обеспечения. Три способа предоставляют основу для понимания того, как и зачем подходить к проблемам разработки программного обеспечения. Изменение и улучшение Infosec не так отличается от того, что облако и постоянная доставка сделала для программного обеспечения. Все связано с идеей, что Увеличение частоты уменьшается сложность Отказ Он видел команды от развертывания ежеквартального до измерения развертываний в день на разработчик. Это удивительная скорость улучшения. Он может повлиять на то же изменение, применяя три способа Infosec результатов: автоматизированное тестирование, телеметрия производства и непрерывное обучение и улучшение. Применение всех трех строит культуру непрерывной проверки, что в конечном итоге повышает полом безопасности через промышленность. Это звучит как учебник в случае растущей безопасности сегодня и в будущем.
Оригинал: «https://dev.to/ahawkins/how-devops-increases-system-security-1cgj»