Cách thiết lập những tính năng dành cho doanh nghiệp của DevOps

Anh Học| 13/08/2019 15:09
Theo dõi ICTVietnam trên

Tài khoản đặc quyền và việc thỏa hiệp thông tin là gốc rễ của mọi cuộc tấn công mạng lớn hiện nay. Mặc dù hầu hết các nhóm bảo mật đã đưa ra đòi hỏi để các doanh nghiệp bảo mật thông tin đặc biệt của mình trong các hệ thống CNTT truyền thống như Windows thì việc bảo vệ DevOps và môi trường dựa trên đám mây thường bị tụt lại phía sau. Khi các tổ chức tăng tốc sử dụng các sáng kiến chuyển đổi kỹ thuật số, các yêu cầu này phải mở rộng đến DevOps, đám mây và nặc danh. Thách thức này đã giúp các nhóm bảo mật tìm ra cách để thiết lập yêu cầu doanh nghiệp.

Văn hóa của nhà phát triển và DevOps rất khác so với văn hóa bảo mật. Để thực hiện bảo mật tốt nhất, các yêu cầu bảo mật doanh nghiệp phải phù hợp với văn hóa DevOps. Nếu các nhà phát triển cảm thấy rằng các yêu cầu bảo mật đang làm họ chậm lại, họ sẽ áp dụng các biện pháp mới khác để bảo vệ các tài khoản, thông tin và bí mật đặc quyền. Vì vậy, tốt hơn hết là các nhà phát triển có thể áp dụng các thực tiễn một cách an toàn. Nếu có sự phản hồi về việc thêm các bước vào quy trình hiện có, hãy nhấn mạnh hiệu quả hoạt động có thể đạt được. Ví dụ: quản lý thông tin xác thực đặc quyền theo cách thủ công tốn rất nhiều công sức và đặt trách nhiệm lên nhà phát triển, việc giảm tải công việc này từ các nhóm DevOps sẽ giải phóng thời gian quý báu của họ.

Trong chương này của loạt blog CISO View Insights, chúng tôi sẽ khám phá bốn thực tiễn tốt nhất để thiết lập các yêu cầu doanh nghiệp bảo mật thông tin đăng nhập trong môi trường hiện đại với bảo mật truy cập đặc quyền mạnh mẽ. Những khuyến nghị này dựa trên kinh nghiệm thực tế của CISO từ các tổ chức Toàn cầu 1000.

1. Bắt buộc quản lý bí mật tập trung cho DevOps và đám mây. Thực hiện một hệ thống quản lý bí mật tập trung hoạt động như một trung gian giữa người dùng (cả danh tính người và nặc danh và máy) và cơ sở dữ liệu, tài nguyên, các công cụ khác và các hệ thống quan trọng cần được truy cập. Điều này giúp giữ bí mật của bạn, vì người dùng không bao giờ nhìn thấy thông tin xác thực. Ví dụ: nếu nhà phát triển cần quyền truy cập vào bảng điều khiển đám mây, họ sẽ xác thực hệ thống quản lý bí mật. Hệ thống xác minh rằng họ được ủy quyền và cung cấp quyền truy cập vào bảng điều khiển mà không tiết lộ thông tin đăng nhập đặc quyền.

Hệ thống tập trung này sẽ lưu trữ tất cả các bí mật và thông tin đăng nhập được sử dụng bởi các nhà phát triển và quản trị viên, công cụ và ứng dụng DevOps trong một khu vực chống giả mạo. Nó cũng sẽ cung cấp bảo mật mạnh mẽ, nhiều lớp; từ mã hóa và luân chuyển thông tin xác thực đến tích hợp với xác thực đa yếu tố (MFA). Ngoài ra, giám sát và ghi nhật ký sử dụng giúp người dùng hiểu được trách nhiệm của mình. Để giúp phát hiện các bất thường một cách nhanh chóng, hãy thiết lập đường cơ sở cho các kiểu sử dụng thông thường và cung cấp cho mỗi máy tính nhận dạng duy nhất của riêng nó để dễ dàng kiểm tra và giám sát quyền truy cập vào bí mật của nó.

2.Mở rộng khả năng cho doanh nghiệp để kiểm toán và giám sát. Điều thực sự quan trọng là phải có một bức tranh hoàn chỉnh về người nào có quyền truy cập vào cái gì, và có thể kiểm toán và giám sát truy cập trên toàn bộ môi trường của bạn. Bạn cần phải trả lời các câu hỏi như:

  • Tất cả những thứ "Sam" có quyền truy cập trên toàn doanh nghiệp là gì?
  • Đâu là tất cả các thông tin đặc quyền có thể truy cập vào cơ sở dữ liệu khách hàng? Ai có thể truy cập các thông tin này?
  • Những ứng dụng nào có quyền truy cập vào cơ sở dữ liệu khách hàng? Tại sao Ứng dụng X có trong danh sách?
  • "Mary" gần đây đã rời công ty. Có bất kỳ thông tin nào của cô ấy đã được sử dụng kể từ đó?
  • Các học viên DevOps có đang sử dụng lại mật khẩu Windows đặc quyền cho các mục đích khác không?
  • Loại máy này thường truy cập ba dịch vụ này (a, b, c), vậy tại sao nó chỉ tương tác với dịch vụ "g"?

Ví dụ, giải pháp quản lý bí mật tập trung nên được tích hợp với hệ thống tin cậy cốt lõi, sử dụng máy chủ LDAP/Active Directory để xác thực. Ngoài ra, bạn cần có nhận thức được khi gặp lỗ hổng, mối đe dọa mạng và tích hợp tư thế an ninh mạng với các giải pháp bảo đảm phân tích kiểm soát như Quản lý Sự kiện và Thông tin Bảo mật (SIEM) và Phân tích Hành vi người dùng và thực thể (UEBA).

3. Loại bỏ thông tin đặc quyền khỏi các công cụ và ứng dụng DevOps. Điều quan trọng là bạn phải xóa các bí mật khỏi tất cả các công cụ DevOps, tệp cấu hình, tập lệnh, mã và yêu cầu các bí mật này phải được truy xuất, thay vào đó, từ một khu vực an toàn. Đây là việc phải được ưu tiên làm trước. Bởi vì nó có thể sẽ mất thời gian, mục tiêu thiết yếu này có thể cần phải được hoàn thành trong từng giai đoạn. Chẳng hạn, bạn có thể bắt đầu bằng cách yêu cầu phát triển tất cả các ứng dụng mới để tuân thủ thực tiễn tốt nhất này.

Các khóa truy cập và thông tin đăng nhập trong mã được cam kết đưa vào kho lưu trữ là một lỗi phổ biến và nó đã dẫn đến nhiều vi phạm khai thác tiền điện tử từ những kẻ tấn công. Để đảm bảo rằng các nhà phát triển không thể vô tình cam kết mã, tệp cấu hình hoặc tập lệnh có bí mật đối với kho lưu trữ mã, các bí mật, khóa truy cập đám mây và thông tin xác thực nhạy cảm khác không bao giờ được đưa vào mã. Các tiêu chuẩn này phải được đặt cho cả mã được phát triển nội bộ và bên thứ ba.

4. Phát triển các mô-đun mã có thể tái sử dụng để cung cấp bí mật cho các ứng dụng. Các nhóm bảo mật nên phối hợp chặt chẽ với các đối tác DevOps của họ để xác định cách thức cung cấp bí mật cho các ứng dụng dựa trên yêu cầu ứng dụng và ưu tiên của nhà phát triển. Một số có thể thích các lệnh gọi API, trong đó một ứng dụng thực hiện lệnh gọi API đến một khu vực bí mật sẽ trả lại một bí mật cho ứng dụng. Những người khác có thể thích lan truyền bí mật, trong đó một chương trình trung gian lấy bí mật và đưa chúng vào môi trường ứng dụng. Để hạn chế rủi ro, điều quan trọng là phải đảm bảo rằng, khi các bí mật nằm ngoài khu vực an toàn, chúng sẽ thường xuyên bị xoay vòng. Ví dụ, với tệp bản đồ bộ nhớ, bí mật này sẽ không thể truy cập được khi đã đóng quy trình.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Xây dựng hạ tầng cho mạng 5G tương lai của Việt Nam
    Đông Nam Á là một trong những khu vực có tốc độ phát triển nhanh nhất trên thế giới. Dự kiến tới năm 2030, ASEAN (gồm 10 quốc gia Đông Nam Á) sẽ trở thành nền kinh tế lớn thứ tư toàn cầu. Phần lớn động lực thúc đẩy sự phát triển này đến từ sự vận động và tăng trưởng không ngừng của nền kinh tế số trong khu vực, với giá trị ước tính lên đến gần 1 nghìn tỉ đô-la vào năm 2030.
  • Hai nền tảng số MISA được công nhận là sản phẩm Thương hiệu quốc gia Việt Nam 2024
    Vượt qua hơn 1.000 hồ sơ và nhiều vòng thẩm định khắt khe, MISA có hai nền tảng số đạt danh hiệu Thương hiệu quốc gia Việt Nam 2024.
  • Sản phẩm, dịch vụ của VinaPhone được công nhận là Thương hiệu Quốc gia
    Tại lễ công bố sản phẩm đạt Thương hiệu Quốc gia Việt Nam năm 2024 do Bộ Công Thương tổ chức, sản phẩm, dịch vụ VinaPhone 5G, Truyền hình MyTV, chứng thực ký số công cộng (VNPT CA)... của VNPT VinaPhone đã được công nhận là Thương hiệu Quốc gia 2024.
  • Sắp diễn ra Lễ hội văn hoá ẩm thực Hà Nội năm 2024
    UBND TP. Hà Nội vừa ban hành Kế hoạch số 313/KH-UBND về việc tổ chức Lễ hội văn hóa ẩm thực Hà Nội năm 2024 (The HaNoi Culinary Culture Festival 2024) với chủ đề "Hà Nội kết nối năm châu".
  • GHTK được vinh danh Thương hiệu Quốc gia Việt Nam lần thứ hai
    Công ty CP Giao hàng Tiết Kiệm tự hào là một trong 190 doanh nghiệp tiêu biểu, đạt danh hiệu Thương hiệu Quốc gia Việt Nam năm 2024 trong số hơn 1.000 doanh nghiệp đăng ký.
  • Cuộc đua trung tâm dữ liệu AI tại Đông Nam Á
    Trí tuệ nhân tạo (AI) đã trở thành một động lực chính thúc đẩy đổi mới công nghệ toàn cầu và Đông Nam Á đang ngày càng khẳng định vai trò của mình trong cuộc đua phát triển AI. Hàng loạt các hãng công nghệ và đám mây lớn đã thông báo kế hoạch xây dựng, vận hành trung tâm dữ liệu mới tại Đông Nam Á.
  • Mở rộng trông xe không dùng tiền mặt mang lại lợi ích "kép"
    Việc áp dụng hình thức thanh toán qua ứng dụng thu phí không dừng VETC và mã QR vào hoạt động thanh toán phí gửi xe không dùng tiền mặt không những góp phần từng bước hình thành hệ thống giao thông thông minh mà còn tăng cường công tác quản lý nhà nước, minh bạch trong công tác thu phí dịch vụ trông giữ xe.
  • MobiFone được vinh danh Thương hiệu quốc gia Việt Nam 2024
    Tại Lễ công bố sản phẩm đạt Thương hiệu quốc gia Việt Nam năm 2024 tối 4/11, MobiFone xuất sắc được vinh danh tại sự kiện với 5 thương hiệu sản phẩm đột phá bao gồm: Dịch vụ viễn thông MobiFone, mobiEdu, ClipTV, mobiAgri và nền tảng số MobiFone.
  • 10 xu hướng định hình tương lai của quản lý giao dịch số
    Quản lý giao dịch số đang phát triển mạnh mẽ, được thúc đẩy bởi những tiến bộ công nghệ và nhu cầu ngày càng tăng về xử lý tài liệu an toàn, hiệu quả. Đây là công cụ quan trọng giúp doanh nghiệp giảm bớt thủ tục hành chính và tối ưu hóa quy trình xử lý tài liệu số.
  • Zalo giữ vững ngôi đầu nền tảng nhắn tin được yêu thích nhất
    Ngày 5/11, theo báo cáo “The Connected Consumer Q.III/2024” mới nhất do Decision Lab công bố, Zalo tiếp tục dẫn đầu các nền tảng nhắn tin tại Việt Nam về tỷ lệ sử dụng (renetration rate) và mức độ yêu thích (preference rate).
Cách thiết lập những tính năng dành cho doanh nghiệp của DevOps
POWERED BY ONECMS - A PRODUCT OF NEKO