DevSecOps là chìa khóa để hợp nhất các nguồn lực đối lập
Diễn đàn - Ngày đăng : 15:44, 20/06/2019
Theo Bill Madell, kỹ sư hệ thống cao cấp của công ty an ninh mạng Venafi, kết hợp phát triển ứng dụng và hoạt động CNTT để thành lập các nhóm DevOps ngày càng trở nên phổ biến với các nhà lãnh đạo doanh nghiệp, nhưng lại không thân thuộc với nhiều nhóm bảo mật.
“DevOps cho phép các doanh nghiệp viết mã và triển khai với tốc độ nhanh chưa từng xảy ra, tạo điều kiện cho họ vượt lên trước các đối thủ cạnh tranh với những bản phát hành nhanh hơn bao giờ hết,” ông nói.
Nghiên cứu gần đây được ủy quyền bởi nhà cung cấp dịch vụ công nghệ toàn cầu Claranet cho thấy 88% doanh nghiệp ở Anh đã áp dụng DevOps hoặc có kế hoạch áp dụng trong một vài năm tới.
Nhưng bất chấp những lợi thế của DevOps, Madell cho biết, các nhóm bảo mật thường coi đó là một trò chơi nguy hiểm với sự quan tâm không đúng mức đến bảo mật. Mặt khác, DevOps coi an ninh là một gánh nặng đang làm họ chậm lại, ngăn họ theo kịp các yêu cầu của nền kinh tế kỹ thuật số và thế giới kinh doanh rộng hơn, ông nói.
Những lợi ích kinh doanh của việc phát triển nhanh hơn các sản phẩm và dịch vụ đã khiến DevOps trở thành một xu hướng thịnh hành, Madell nói. Do đó, các giám đốc an ninh thông tin và giám đốc công nghệ thông tin cần tìm cách thu hẹp khoảng cách giữa DevOps và bảo mật, và vì làm chậm DevOps không phải là con đường để đi, DevSecOps là lựa chọn duy nhất, ông nói.
DevSecOps (Phát triển-Bảo mật-Vận hành) tăng tốc độ bảo mật đến cùng tốc độ với DevOps, cho phép các công ty duy trì sự nhanh nhẹn mà vẫn đảm bảo loại bỏ các lỗ hổng, ông nói. Dịch vụ DevSecOps rất cần thiết cho các công ty muốn phát hành sản phẩm và dịch vụ mới một cách nhanh chóng mà không làm gia tăng rủi ro bảo mật.
Trọng tâm của sự căng thẳng giữa bảo mật và DevOps là việc họ có các động lực và rủi ro khác nhau, Madell nói.
Các nhóm DevOps bị thúc đẩy bởi nhu cầu rút ngắn chu kỳ phát triển để giảm rủi ro thị trường. Một nghiên cứu cho thấy các công ty có nhóm DevOps hiệu quả có thể triển khai nhanh gấp 30 lần so với đối thủ, rút ngắn 12 lần thời gian phục hồi khi có vấn đề phát sinh, và có nhiều khả năng vượt những mục tiêu về lợi nhuận và năng suất.
Mặt khác, các nhóm bảo mật tập trung vào việc giữ an toàn cho doanh nghiệp khỏi các mối đe dọa bên trong và bên ngoài. Ưu tiên hàng đầu cho các nhóm bảo mật là đảm bảo không ai có thể truy cập trái phép hoặc đem phần mềm độc hại vào tổ chức.
Trong khi DevOps hướng đến việc loại bỏ càng nhiều rào cản càng tốt bởi vì mọi quy trình bổ sung đều trở thành vật cản trở cho năng suất và phân phối thì bảo mật thận trọng hơn, muốn dành thời gian để kiểm tra nghiêm ngặt mọi các dịch vụ và ứng dụng mới để đảm bảo không có điểm yếu nào có thể khiến tổ chức bị đặt vào tình thế rủi ro, Madell nói. Điều này đặt các nhóm bảo mật vào thế đối lập trực tiếp với DevOps và cuộc đụng độ có thể tạo ra những hậu quả nghiêm trọng.
Cả hai nhóm đều hành động vì lợi ích cao nhất của công ty, nhưng bằng cách đi theo hai hướng ngược lại, rủi ro gia tăng ở cả hai phía.
Trong bối cảnh này, Madell cho biết, không có gì đáng ngạc nhiên khi nghiên cứu cho thấy chỉ 1/3 (36%) nhóm DevOps nói rằng bảo mật có liên quan đến việc thiết kế và triển khai công nghệ mới. Đây là một con số tồi tệ vì như vậy, không chỉ các nhóm DevOps đang tham gia vào những hoạt động không an toàn mà đội bảo mật cũng không hề biết những gì đang thực sự xảy ra để cố gắng giảm thiểu các mối đe dọa tiềm tàng, ông nói.
Một ví dụ rõ ràng về điều này là nhận dạng máy móc, Madell nói. Nghiên cứu của A10 Networks đã phát hiện ra rằng các nhóm DevOps thường xuyên tham gia vào các hoạt động không an toàn, ông nói, chẳng hạn như sử dụng chứng chỉ tự ký hoặc không thay thế chứng chỉ kiểm tra khi mã đi vào sản xuất.
Những bước đi sai lầm này tạo ra những rủi ro bảo mật đáng kể, ông nói. Nếu tin tặc tìm thấy những điểm yếu này, chúng có thể sử dụng chúng để xâm nhập vào một tổ chức bằng phần mềm độc hại, thực hiện các cuộc tấn công xen giữa hoặc làm mất dữ liệu nhạy cảm.
Vấn đề bảo mật này xuất phát từ việc các nhóm DevOps chịu áp lực phải phát hành sản phẩm mới càng nhanh càng tốt và vì vậy không có thời gian đi qua quá trình yêu cầu chứng chỉ với một cơ quan cấp chứng chỉ số uy tín mỗi lần, Madell nói.
Tuy nhiên, “với các lỗ hổng từ các bước bị bỏ qua này, nhóm bảo mật cần phải giải quyết nó mà không làm chậm DevOps,” ông nói. “Bảo mật cần phải chuyển từ việc từ chối chấp nhận cách tiếp cận DevOps sang tìm cách để DevOps có thể được thực hiện một cách an toàn.”
Theo Madell, một giải pháp cho việc đảm bảo DevOps hoạt động an toàn với tốc độ mà doanh nghiệp yêu cầu là đưa các quy trình bảo mật lên cùng tốc độ và tham gia vào quy trình DevOps thông qua DevSecOps.
Điều này sẽ giúp cuộc đối thoại tránh xa sự đối đầu, hướng tới sự hợp tác trong việc tìm cách đưa bảo mật đến cùng tốc độ với DevOps, ông nói. Chìa khóa cho vấn đề này là tự động hóa. Tự động hóa có thể đáp ứng nhu cầu của cả DevOps và bảo mật vì nó nhanh chóng, đáng tin cậy và dễ xác minh.
Bằng cách đưa tự động hóa các quy trình được áp dụng nhất quán trong các khu vực chính như thử nghiệm và triển khai, các chuyên gia bảo mật được giải phóng thời gian để tập trung vào cải tiến liên tục, Madell nói.
Tự động hóa có nghĩa là các rào cản được gỡ bỏ cho DevOps trong khi bảo mật có thể tin tưởng rằng các quy trình chính luôn được tuân theo, ông nói thêm.
Trong nhận dạng máy móc, Madell cho biết tự động hóa quy trình cung cấp chứng chỉ giúp loại bỏ các điều kiện trong đó các lỗi bảo mật có thể xảy ra. Ngay sau khi mã đã sẵn sàng để đi vào sản xuất, chứng chỉ chính xác sẽ được yêu cầu và áp dụng mà không yêu cầu bất cứ điều gì là gánh nặng đối với nhà phát triển, ông nói.
Nhờ đó, chúng ta đảm bảo quy trình bảo mật được duy trì mà không làm chậm các đường dẫn DevOps. DevOps có thể tự do tập trung vào mã hóa và phân phối nhanh trong khi bảo mật không làm chậm DevOps vì họ biết các quy trình bảo mật được tuân thủ một cách nhất quán và tự động.
Khi mà DevOps đã trở thành xu hướng, Madell cho rằng điều quan trọng đối với các công ty là hiểu và nắm lấy DevSecOps càng sớm càng tốt. Họ không nên sợ DevOps vì những rủi ro bảo mật - đó là tương lai của phát triển và triển khai mã liên tục. Những người không chấp nhận nó sẽ bị bỏ lại phía sau, ông nói.
Tuy nhiên, khi không có sự giám sát của bảo mật, các nhóm DevOps sẽ đem đến một loạt các lỗ hổng khi triển khai trong sự vội vàng. Giải pháp duy nhất là các công ty đưa bảo mật lên cùng tốc độ với DevOps, điều này sẽ giúp tổ chức của bạn hoạt động hài hòa, cả về văn hóa và công nghệ.