DevSecOps là chìa khóa để hợp nhất các nguồn lực đối lập

Thùy Linh, Nguyễn Thị Tám| 20/06/2019 15:44
Theo dõi ICTVietnam trên

Hợp nhất DevOps và các nhóm bảo mật với sự trợ giúp của tự động hóa sẽ mang lại sự hài hòa và gia tăng lợi ích kinh doanh.

Kết quả hình ảnh cho DevSecOps is key to uniting opposing forces

Theo Bill Madell, kỹ sư hệ thống cao cấp của công ty an ninh mạng Venafi, kết hợp phát triển ứng dụng và hoạt động CNTT để thành lập các nhóm DevOps ngày càng trở nên phổ biến với các nhà lãnh đạo doanh nghiệp, nhưng lại không thân thuộc với nhiều nhóm bảo mật.

“DevOps cho phép các doanh nghiệp viết mã và triển khai với tốc độ nhanh chưa từng xảy ra, tạo điều kiện cho họ vượt lên trước các đối thủ cạnh tranh với những bản phát hành nhanh hơn bao giờ hết,” ông nói.

Nghiên cứu gần đây được ủy quyền bởi nhà cung cấp dịch vụ công nghệ toàn cầu Claranet cho thấy 88% doanh nghiệp ở Anh đã áp dụng DevOps hoặc có kế hoạch áp dụng trong một vài năm tới.

Nhưng bất chấp những lợi thế của DevOps, Madell cho biết, các nhóm bảo mật thường coi đó là một trò chơi nguy hiểm với sự quan tâm không đúng mức đến bảo mật. Mặt khác, DevOps coi an ninh là một gánh nặng đang làm họ chậm lại, ngăn họ theo kịp các yêu cầu của nền kinh tế kỹ thuật số và thế giới kinh doanh rộng hơn, ông nói.

Những lợi ích kinh doanh của việc phát triển nhanh hơn các sản phẩm và dịch vụ đã khiến DevOps trở thành một xu hướng thịnh hành, Madell nói. Do đó, các giám đốc an ninh thông tin và giám đốc công nghệ thông tin cần tìm cách thu hẹp khoảng cách giữa DevOps và bảo mật, và vì làm chậm DevOps không phải là con đường để đi, DevSecOps là lựa chọn duy nhất, ông nói.

DevSecOps (Phát triển-Bảo mật-Vận hành) tăng tốc độ bảo mật đến cùng tốc độ với DevOps, cho phép các công ty duy trì sự nhanh nhẹn mà vẫn đảm bảo loại bỏ các lỗ hổng, ông nói. Dịch vụ DevSecOps rất cần thiết cho các công ty muốn phát hành sản phẩm và dịch vụ mới một cách nhanh chóng mà không làm gia tăng rủi ro bảo mật.

Trọng tâm của sự căng thẳng giữa bảo mật và DevOps là việc họ có các động lực và rủi ro khác nhau, Madell nói.

Các nhóm DevOps bị thúc đẩy bởi nhu cầu rút ngắn chu kỳ phát triển để giảm rủi ro thị trường. Một nghiên cứu cho thấy các công ty có nhóm DevOps hiệu quả có thể triển khai nhanh gấp 30 lần so với đối thủ, rút ngắn 12 lần thời gian phục hồi khi có vấn đề phát sinh, và có nhiều khả năng vượt những mục tiêu về lợi nhuận và năng suất.

Mặt khác, các nhóm bảo mật tập trung vào việc giữ an toàn cho doanh nghiệp khỏi các mối đe dọa bên trong và bên ngoài. Ưu tiên hàng đầu cho các nhóm bảo mật là đảm bảo không ai có thể truy cập trái phép hoặc đem phần mềm độc hại vào tổ chức.

Trong khi DevOps hướng đến việc loại bỏ càng nhiều rào cản càng tốt bởi vì mọi quy trình bổ sung đều trở thành vật cản trở cho năng suất và phân phối thì bảo mật thận trọng hơn, muốn dành thời gian để kiểm tra nghiêm ngặt mọi các dịch vụ và ứng dụng mới để đảm bảo không có điểm yếu nào có thể khiến tổ chức bị đặt vào tình thế rủi ro, Madell nói. Điều này đặt các nhóm bảo mật vào thế đối lập trực tiếp với DevOps và cuộc đụng độ có thể tạo ra những hậu quả nghiêm trọng.

Cả hai nhóm đều hành động vì lợi ích cao nhất của công ty, nhưng bằng cách đi theo hai hướng ngược lại, rủi ro gia tăng ở cả hai phía.

Trong bối cảnh này, Madell cho biết, không có gì đáng ngạc nhiên khi nghiên cứu cho thấy chỉ 1/3 (36%) nhóm DevOps nói rằng bảo mật có liên quan đến việc thiết kế và triển khai công nghệ mới. Đây là một con số tồi tệ vì như vậy, không chỉ các nhóm DevOps đang tham gia vào những hoạt động không an toàn mà đội bảo mật cũng không hề biết những gì đang thực sự xảy ra để cố gắng giảm thiểu các mối đe dọa tiềm tàng, ông nói.

Một ví dụ rõ ràng về điều này là nhận dạng máy móc, Madell nói. Nghiên cứu của A10 Networks đã phát hiện ra rằng các nhóm DevOps thường xuyên tham gia vào các hoạt động không an toàn, ông nói, chẳng hạn như sử dụng chứng chỉ tự ký hoặc không thay thế chứng chỉ kiểm tra khi mã đi vào sản xuất.

Những bước đi sai lầm này tạo ra những rủi ro bảo mật đáng kể, ông nói. Nếu tin tặc tìm thấy những điểm yếu này, chúng có thể sử dụng chúng để xâm nhập vào một tổ chức bằng phần mềm độc hại, thực hiện các cuộc tấn công xen giữa hoặc làm mất dữ liệu nhạy cảm.

Vấn đề bảo mật này xuất phát từ việc các nhóm DevOps chịu áp lực phải phát hành sản phẩm mới càng nhanh càng tốt và vì vậy không có thời gian đi qua quá trình yêu cầu chứng chỉ với một cơ quan cấp chứng chỉ số uy tín mỗi lần, Madell nói.

Tuy nhiên, “với các lỗ hổng từ các bước bị bỏ qua này, nhóm bảo mật cần phải giải quyết nó mà không làm chậm DevOps,” ông nói. “Bảo mật cần phải chuyển từ việc từ chối chấp nhận cách tiếp cận DevOps sang tìm cách để DevOps có thể được thực hiện một cách an toàn.”

Theo Madell, một giải pháp cho việc đảm bảo DevOps hoạt động an toàn với tốc độ mà doanh nghiệp yêu cầu là đưa các quy trình bảo mật lên cùng tốc độ và tham gia vào quy trình DevOps thông qua DevSecOps.

Điều này sẽ giúp cuộc đối thoại tránh xa sự đối đầu, hướng tới sự hợp tác trong việc tìm cách đưa bảo mật đến cùng tốc độ với DevOps, ông nói. Chìa khóa cho vấn đề này là tự động hóa. Tự động hóa có thể đáp ứng nhu cầu của cả DevOps và bảo mật vì nó nhanh chóng, đáng tin cậy và dễ xác minh.

Bằng cách đưa tự động hóa các quy trình được áp dụng nhất quán trong các khu vực chính như thử nghiệm và triển khai, các chuyên gia bảo mật được giải phóng thời gian để tập trung vào cải tiến liên tục, Madell nói.

Tự động hóa có nghĩa là các rào cản được gỡ bỏ cho DevOps trong khi bảo mật có thể tin tưởng rằng các quy trình chính luôn được tuân theo, ông nói thêm.

Trong nhận dạng máy móc, Madell cho biết tự động hóa quy trình cung cấp chứng chỉ giúp loại bỏ các điều kiện trong đó các lỗi bảo mật có thể xảy ra. Ngay sau khi mã đã sẵn sàng để đi vào sản xuất, chứng chỉ chính xác sẽ được yêu cầu và áp dụng mà không yêu cầu bất cứ điều gì là gánh nặng đối với nhà phát triển, ông nói.

Nhờ đó, chúng ta đảm bảo quy trình bảo mật được duy trì mà không làm chậm các đường dẫn DevOps. DevOps có thể tự do tập trung vào mã hóa và phân phối nhanh trong khi bảo mật không làm chậm DevOps vì họ biết các quy trình bảo mật được tuân thủ một cách nhất quán và tự động.

Khi mà DevOps đã trở thành xu hướng, Madell cho rằng điều quan trọng đối với các công ty là hiểu và nắm lấy DevSecOps càng sớm càng tốt. Họ không nên sợ DevOps vì những rủi ro bảo mật - đó là tương lai của phát triển và triển khai mã liên tục. Những người không chấp nhận nó sẽ bị bỏ lại phía sau, ông nói.

Tuy nhiên, khi không có sự giám sát của bảo mật, các nhóm DevOps sẽ đem đến một loạt các lỗ hổng khi triển khai trong sự vội vàng. Giải pháp duy nhất là các công ty đưa bảo mật lên cùng tốc độ với DevOps, điều này sẽ giúp tổ chức của bạn hoạt động hài hòa, cả về văn hóa và công nghệ.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Xây dựng hạ tầng cho mạng 5G tương lai của Việt Nam
    Đông Nam Á là một trong những khu vực có tốc độ phát triển nhanh nhất trên thế giới. Dự kiến tới năm 2030, ASEAN (gồm 10 quốc gia Đông Nam Á) sẽ trở thành nền kinh tế lớn thứ tư toàn cầu. Phần lớn động lực thúc đẩy sự phát triển này đến từ sự vận động và tăng trưởng không ngừng của nền kinh tế số trong khu vực, với giá trị ước tính lên đến gần 1 nghìn tỉ đô-la vào năm 2030.
  • 5G và những thay đổi toàn diện trong xây dựng thành phố thông minh
    Với tốc độ cực cao, độ trễ cực thấp, băng thông rộng và kết nối mật độ cực lớn, 5G là hạ tầng cốt lõi hỗ trợ toàn diện cho sự đổi mới và phát triển của thành phố thông minh trên tất cả các lĩnh vực, tác động tích cực vào công tác xây dựng và quản lý thành phố, tạo ra một môi trường sống tiện nghi, bền vững và an toàn hơn bao giờ hết.
  • Vượt qua hơn 1.000 doanh nghiệp, Bưu điện Việt Nam đạt giải Thương hiệu Quốc gia 2024
    Đây là lần thứ 2 liên tiếp Bưu điện Việt Nam vinh dự nhận giải thưởng danh giá này bởi những thành tựu lớn trong lĩnh vực logistics, bưu chính chuyển phát tại Việt Nam và Quốc tế.
  • Cuộc đua trung tâm dữ liệu AI tại Đông Nam Á
    Trí tuệ nhân tạo (AI) đã trở thành một động lực chính thúc đẩy đổi mới công nghệ toàn cầu và Đông Nam Á đang ngày càng khẳng định vai trò của mình trong cuộc đua phát triển AI. Hàng loạt các hãng công nghệ và đám mây lớn đã thông báo kế hoạch xây dựng, vận hành trung tâm dữ liệu mới tại Đông Nam Á.
  • Mở rộng trông xe không dùng tiền mặt mang lại lợi ích "kép"
    Việc áp dụng hình thức thanh toán qua ứng dụng thu phí không dừng VETC và mã QR vào hoạt động thanh toán phí gửi xe không dùng tiền mặt không những góp phần từng bước hình thành hệ thống giao thông thông minh mà còn tăng cường công tác quản lý nhà nước, minh bạch trong công tác thu phí dịch vụ trông giữ xe.
  • 10 xu hướng định hình tương lai của quản lý giao dịch số
    Quản lý giao dịch số đang phát triển mạnh mẽ, được thúc đẩy bởi những tiến bộ công nghệ và nhu cầu ngày càng tăng về xử lý tài liệu an toàn, hiệu quả. Đây là công cụ quan trọng giúp doanh nghiệp giảm bớt thủ tục hành chính và tối ưu hóa quy trình xử lý tài liệu số.
  • Zalo giữ vững ngôi đầu nền tảng nhắn tin được yêu thích nhất
    Ngày 5/11, theo báo cáo “The Connected Consumer Q.III/2024” mới nhất do Decision Lab công bố, Zalo tiếp tục dẫn đầu các nền tảng nhắn tin tại Việt Nam về tỷ lệ sử dụng (renetration rate) và mức độ yêu thích (preference rate).
  • Triển vọng thị trường chữ ký số toàn cầu
    Thị trường chữ ký số toàn cầu đang có ​​sự tăng trưởng chưa từng có khi các doanh nghiệp và cá nhân ngày càng áp dụng các giải pháp số để xác thực tài liệu và giao dịch an toàn.
  • ĐMST mở xã hội mang lại cho 90% doanh nghiệp cơ hội tạo giá trị kinh doanh bền vững
    Theo bà Nguyễn Phương Linh, Viện trưởng Viện MSD, hơn 90% các doanh nghiệp cho rằng đổi mới sáng tạo (ĐMST) mở xã hội mang lại cho doanh nghiệp cơ hội tạo ra giá trị kinh doanh bền vững, tác động tích cực đến xã hội và môi trường.
  • ‏FPT đẩy mạnh phát triển giải pháp low-code tại thị trường Hàn Quốc‏
    ‏Mới đây, FPT vừa ký kết thỏa thuận hợp tác ba năm với OutSystems, chính thức trở thành đối tác phân phối và triển khai tại thị trường Hàn Quốc, đảm bảo thời gian ra mắt phần mềm của khách hàng được rút ngắn và tối ưu chi phí.
DevSecOps là chìa khóa để hợp nhất các nguồn lực đối lập
POWERED BY ONECMS - A PRODUCT OF NEKO