لماذا تعتبر الشهادات الرقمية مهمة جدًا لفرق DevOps

نشرت: 2020-10-02

تعمل المؤسسات على دمج DevOps بشكل متزايد في عمليات تطوير تطبيقاتها. وفقًا لـ Amazon Web Services (AWS) ، يحمل DevOps الكثير من الوعود مع المؤسسات لأنه لديه القدرة على زيادة السرعة والقدرة على نشر التطبيقات والخدمات الجديدة. يقوم بذلك عن طريق جعل فرق التطوير والتشغيل تعمل معًا عبر دورة حياة التطبيق بأكملها. (قد تشارك فرق الأمان أيضًا في عملية تُعرف باسم DevSecOps.) يستخدم موظفو التطوير والعمليات معًا مجموعات وأدوات تقنية موسعة لأتمتة العمليات التي قاموا بتنفيذها يدويًا بشكل تقليدي.

وغني عن القول ، يمكن للمنظمات جني العديد من الفوائد من خلال اعتماد نموذج DevOps. عندما يُترك المطورون وموظفو العمليات ومتخصصو الأمن وحتى أفراد ضمان الجودة في صوامعهم ، لا يعرفون بالضرورة العوائق التي قد تقف في طريق إنهاء المشروع في الوقت المحدد. ذلك لأن هذه المجموعات تضيف شيئًا مختلفًا إلى المهمة. كما لاحظت Digital.ai ، فهم لا يتعاملون بالضرورة مع عملهم من نفس الفهم لسياق عمل التطبيق الجديد أو قيمته. على هذا النحو ، يمكن أن يكون لهذه الفرق أهداف متعارضة يمكن أن تعيق المشروع وتؤدي إلى الاقتتال الداخلي.

الشهادات الرقمية: تحدٍ أمام DevOps لمواكبة الأمان

ترغب المؤسسات في تحقيق أقصى استفادة من دمج فرقها المختلفة معًا في إطار نموذج DevOps. الاعتراف بهذه الحقيقة ، فليس من المستغرب أن تتغير عقلية DevOps باستمرار في محاولة لتلائم المشهد التكنولوجي المتطور باستمرار. لذلك يجب على DevOps مواكبة مجال أمن المعلومات.

أوضح سيد فادكار ، كبير مديري المنتجات في Akamai ، هذه النقطة لـ TechRepublic :

مع تزايد عدد انتهاكات البيانات وزيادة التركيز على لوائح خصوصية البيانات مثل PSD2 و GDPR في كل من الولايات المتحدة والعالم ، ستضطر مؤسسات DevOps المتمرسين إلى إعطاء الأولوية للعناية في الإجراءات الأمنية في العمل الإضافي للسوق في العام المقبل. مع وضع اللوائح الجديدة موضع التنفيذ ، سيتم تكليف المزيد من مطوري التطبيقات ببناء سياسات أمنية صارمة مباشرة داخل التعليمات البرمجية. سيكون هناك زيادة طفيفة في أدوات DevOps التي تلبي أتمتة المزيد من المهام المتعلقة بالامتثال داخل فرق المعلومات ، وبالتالي دمج تدابير الأمان والامتثال في مهام سير عمل CI اليومية.

تكمن المشكلة في أنه ليس من السهل دائمًا مواءمة DevOps مع الأمان. في الواقع ، لاحظ Keyfactor أن العديد من المنظمات تكافح من أجل فرض سياسات أمنية متسقة حول DevOps بسبب التعارضات التي نوقشت أعلاه. عادة ما تتواصل الممارسات الأمنية الجيدة مع التسليم في الوقت المناسب لتطبيق أو خدمة جديدة. بدون الأدوات المناسبة لدعم DevOps ، لا يمكن لموظفي الأمن بالتالي دعم المطورين بطريقة يحتاجون إلى الدعم. لذلك سيكون المطورون أكثر ميلًا لمقاومة ممارسات الأمان الجديدة والعثور على بدائل غير متوافقة للعمليات الجديدة التي تبطئها.

هذه التحديات ذات أهمية خاصة لإدارة دورة حياة الشهادة. تحتاج المؤسسات إلى تأمين دورة حياة DevOps باستخدام PKI عبر توقيع الرمز أو إنشاء شهادة. ولكن كما لاحظ AppViewX ، غالبًا ما يعاني تنفيذ البنية التحتية للمفاتيح العمومية (PKI) من ضعف الرؤية في دورات حياة الشهادة والتواصل غير المتسق مع المراجع المصدقة.

تعتمد خطوط أنابيب DevOps التقليدية أيضًا بشكل شائع على الطلبات اليدوية للحصول على شهادات موثوقة. تقوض هذه الأنواع من الطلبات مرونة دورة حياة تطوير البرامج. معظم الحاويات لا تستغرق وقتًا طويلاً ، لذلك إذا كانت هذه الطلبات تستغرق أيامًا حتى تكتمل ، فستكون الشهادات الرقمية الناتجة عديمة الفائدة فعليًا ما لم تبطئ المنظمة تسليمها للتطبيقات. تجعل هذه الديناميكية أيضًا من الصعب على DevOps إدارة هذه الشهادات ومراقبتها بنفسها. لذلك يمكن لأعضاء الفريق البحث عن الاختصارات ، أو اللجوء إلى العمليات الخاصة أو شراء الشهادات التي تستخدم معايير تشفير متعددة - وهي الاختلافات التي تزيد من مخاطر أمان المؤسسة.

هذه المخاوف لا يتردد صداها فقط مع محللي الصناعة. تتم مشاركتها أيضًا بواسطة محترفي DevOps. في استطلاع عام 2019 ، أخبر 74٪ من محترفي DevOps شركة Venafi أنهم قلقون من أن إصدار الشهادات يمكن أن يبطئ عملية التطوير. قال ما يزيد قليلاً عن ثلث المطورين (39٪) إنهم يجب أن يكونوا قادرين على التحايل على هذه السياسات للوفاء باتفاقيات مستوى الخدمة الخاصة بهم ، بينما أعرب أقل من نصف المستجيبين (48٪) عن اعتقادهم بأن المطورين في مؤسستهم يطلبون دائمًا الشهادات من خلال القنوات والطرق المعتمدة من قبل الفريق الأمني.

كيف يمكن لفرق DevOps التعامل مع شهاداتهم بشكل أفضل

استجابة للتحديات التي تمت مناقشتها أعلاه ، يمكن لفرق DevOps التعامل بشكل أفضل مع شهاداتهم من خلال أتمتة عمليات إدارة الشهادات الخاصة بهم. كما لاحظ موقع DevOps.com ، فإن أدوات التنسيق مثل Kubernetes تدعم إدارة الشهادات عبر بروتوكول ACME. يخزن Kubernetes المفاتيح الخاصة في Kubernetes Secret أو Hashicorp Vault ، مما يوفر تكاملاً سلسًا لنظام إدارة الشهادات. يمكن لفرق DevOps أيضًا التوقيع رقميًا على حاوياتها باستخدام مرجع مصدق خاص للمساعدة في التحقق من حاوية معينة أثناء اتصالها عبر اتصال TLS.

بصرف النظر عن الأتمتة ، تحتاج DevOps إلى زيادة وضوح شهاداتها لتجنب الانقطاعات غير الضرورية. يجب أن يكون أعضاء الفريق قادرين على تجديد الشهادات قبل انتهاء صلاحيتها ومعالجة التكوينات غير الصحيحة للتأكد من استمرار تشغيل الخدمات المهمة. يلاحظ TechBeacon أنه يجب على DevOps استخدام مجموعات أتمتة تعتمد على واجهة برمجة التطبيقات تسمى "الوصفات" لتنظيم عملياتها التي تتضمن مفاتيح وشهادات في محاولة لتحقيق التوازن بين كل من المرونة والأمان.

هل لديك أي أفكار حول هذا؟ أخبرنا أدناه في التعليقات أو انقل المناقشة إلى Twitter أو Facebook.

توصيات المحررين:

  • كيف يتم تنفيذ الاختبار المستمر في DevOps؟
  • يقوم مهندسو AWS DevOps بعمل قتل - ابدأ حياتك المهنية باستخدام حزمة الدورة التدريبية هذه التي تبلغ 30 دولارًا
  • كيف يمكن لـ DevOps حماية بيانات العملاء
  • كيف تقوم DevOps بتحويل تطوير البرامج

ملاحظة المحرر: ديفيد بيسون كاتب في أمن المعلومات ومدمن للأمن. وهو محرر مساهم في شركة IBM Security Intelligence و Tripwire's The State of Security Blog ، وهو كاتب مساهم في Bora. كما أنه ينتج بانتظام محتوى مكتوبًا لشركة Zix وعدد من الشركات الأخرى في مجال الأمن الرقمي.