Các doanh nghiệp đã đi một chặng đường dài với an ninh mạng, nắm lấy các nền tảng bảo mật doanh nghiệp mạnh mẽ và nâng cao vai trò bảo mật và thực tiễn tốt nhất. Tuy nhiên, với sự gia tăng của đám mây công cộng đang gia tăng và các doanh nghiệp chuyển sang các quy trình phát triển nhanh, các mối đe dọa và lỗ hổng mới đang thử nghiệm các mô hình và văn hóa bảo mật truyền thống, gây áp lực lên các tổ chức để tìm cách tiếp cận thay thế.
Raj Patel, phó chủ tịch Symantec, kỹ sư nền tảng đám mây, gần đây đã chia sẻ quan điểm của mình về sự thiếu hụt của một tư thế bảo mật truyền thống cùng với các loại thay đổi và các công cụ mà các tổ chức cần phải chấp nhận để giảm thiểu rủi ro trong bối cảnh đám mây ngày càng phổ biến.
Có một vài lý do tại sao nó thực sự quan trọng để suy nghĩ lại về mô hình này. Trước hết, đám mây công khai theo định nghĩa của nó là một mô hình bảo mật được chia sẻ với nhà cung cấp đám mây của bạn. Điều đó có nghĩa là các tổ chức phải đóng vai trò tích cực hơn nhiều trong việc quản lý bảo mật trong đám mây công cộng so với trước đây họ có thể có.
Cơ sở hạ tầng được cung cấp bởi nhà cung cấp đám mây và do đó, trách nhiệm bảo mật đang được phân cấp trong một tổ chức. Nhà cung cấp đám mây cung cấp một mức độ bảo mật cơ sở nhất định, nhưng chủ sở hữu ứng dụng trực tiếp phát triển cơ sở hạ tầng trên nền tảng đám mây công cộng, do đó giờ đây phải nhận thức được bảo mật.
Môi trường đám mây công cộng cũng là một thế giới chuyển động rất nhanh, đó là một trong những lý do chính khiến mọi người di cư đến đó. Nó có khả năng mở rộng vô hạn và nhanh nhẹn hơn nhiều. Tuy nhiên, những lợi ích rất giống nhau cũng tạo ra một lượng rủi ro đáng kể. Lỗi bảo mật sẽ lan truyền ở cùng một tốc độ nếu bạn không cẩn thận và không làm đúng. Vì vậy, từ góc độ bảo mật, bạn phải áp dụng logic đó trong mô hình bảo mật của bạn.
Cuối cùng, các hướng tấn công trong đám mây là toàn bộ kết cấu của đám mây. Theo truyền thống, mọi người có thể lo lắng về việc bảo vệ máy hoặc ứng dụng của họ. Trong đám mây công cộng, bề mặt tấn công là toàn bộ kết cấu của đám mây – mọi thứ từ dịch vụ cơ sở hạ tầng đến dịch vụ nền tảng và trong nhiều trường hợp là dịch vụ phần mềm. Bạn có thể không biết tất cả các yếu tố của tư thế bảo mật của tất cả các dịch vụ đó, vì vậy bề mặt tấn công của bạn lớn hơn nhiều so với bạn có trong môi trường truyền thống.
Hầu hết các tổ chức trải qua quá trình chuyển đổi trên nền tảng đám mây đều có cách tiếp cận hai hướng. Đầu tiên, họ đang di chuyển tài sản và cơ sở hạ tầng của mình sang đám mây công cộng và thứ hai, họ đang phát triển các thực tiễn phát triển phần mềm để phù hợp với mô hình vận hành đám mây. Điều này thường được gọi là đi trên nền tảng đám mây và nó không phải là một thứ nhị phân.
Với ý nghĩ đó, hầu hết các chuyển đổi gốc trên đám mây đều yêu cầu sửa đổi đáng kể SDLC, và trong hầu hết các trường hợp, các công ty áp dụng một số dạng của đường ống phát hành phần mềm, thường được gọi là tích hợp liên tục, triển khai liên tục (CI / CD). Tôi tin rằng bảo mật cần phải phù hợp với cấu trúc của đường ống quản lý phát hành hoặc thực hành CI / CD. Bảo mật trở thành một lớp lỗi khác để quản lý giống như một lỗi. Nếu bạn có chu kỳ phát hành thường xuyên hơn trong đám mây, kiểm tra bảo mật và xác thực phải di chuyển với cùng tốc độ. Các công cụ phần mềm bạn chọn để quản lý các đường ống như vậy sẽ phù hợp với phương pháp hiện đại này.
DevOps không phải là một công cụ, nó là một phương pháp tiếp cận và đó là một văn hóa . Đó là một cách để làm một cái gì đó đặc biệt, một cách xây dựng một ứng dụng gốc trên đám mây. Và một thuật ngữ mới, DevSecOps, đã xuất hiện cho thấy bảo mật phải là một phần của cấu trúc DevOps. Theo một nghĩa nào đó, DevOps là sự liên tục từ phát triển cho đến hoạt động và triết lý DevSecOps nói rằng sự phát triển, bảo mật và hoạt động là một sự liên tục.
Nó bắt đầu với một sự tôn trọng rất mạnh mẽ, lành mạnh đối với kỷ luật bảo mật trong cấu trúc phát triển ứng dụng tổng thể. Theo truyền thống, các chuyên gia Infosec không giao nhau với các nhóm DevOps vì công việc bảo mật xảy ra như một hoạt động độc lập hoặc như một công cụ bổ trợ cho quy trình phát triển ứng dụng cốt lõi. Bây giờ, khi chúng ta đang nói về việc phát triển các ứng dụng gốc trên đám mây, bảo mật là một phần trong cách bạn phát triển vì bạn muốn tối đa hóa sự nhanh nhẹn và thẳng thắn, khai thác tốc độ thay đổi phát triển đang diễn ra.
Một thực tế hoạt động tốt là khi các tổ chức bảo mật nhúng một chuyên gia bảo mật hoặc kỹ sư trong một nhóm ứng dụng hoặc nhóm DevOps. Thông thường, chủ sở hữu ứng dụng phàn nàn rằng các chuyên gia bảo mật quá xa quy trình phát triển ứng dụng nên họ không hiểu hoặc họ phải giải thích nhiều, điều này làm mọi thứ chậm lại. Tôi đang đề xuất phá vỡ mớ đăng nhập đó bằng cách nhúng một nhân viên bảo mật vào nhóm ứng dụng để chuyên gia bảo mật trở thành đại biểu của tổ chức bảo mật, mang tất cả các công cụ, kiến thức và khả năng của họ.
Tại Symantec, chúng tôi cũng đã tạo ra một nhóm làm việc bảo mật đám mây khi chúng tôi bắt đầu hành trình đám mây. Các kỹ sư tham gia vào việc di chuyển lên đám mây công cộng cũng như các chuyên gia bảo mật của chúng tôi làm việc như một nhóm điều hành chung để đưa ra các thực tiễn và công cụ tốt nhất. Điều đó rất mạnh mẽ bởi vì nó không phải là cách tiếp cận từ trên xuống, nó không phải là cách tiếp cận từ dưới lên – đó là kết quả tốt nhất của suy nghĩ tập thể của hai nhóm này.
Không nhiều như DevSecOps yêu cầu xác thực tuân thủ liên tục nhiều như việc chuyển sang môi trường gốc trên đám mây. Thay đổi về cấu hình và cơ sở hạ tầng nhanh hơn nhiều và được phân phối trong tự nhiên. Vì các thay đổi đang diễn ra gần như hàng ngày, nên cách tốt nhất là chuyển sang chế độ xác nhận liên tục. Đám mây cho phép bạn thay đổi mọi thứ hoặc di chuyển mọi thứ thực sự nhanh chóng và theo cách điều khiển bằng phần mềm. Điều đó có nghĩa là rất nhiều điều tốt, nhưng nó cũng có thể có nghĩa là tăng rủi ro rất nhiều. Toàn bộ khái niệm DevSecOps cho CI / CD để xác nhận liên tục xuất phát từ lập luận cơ bản đó.
Theo Symantec.com
