Dlaczego certyfikaty cyfrowe są tak ważne dla Twoich zespołów DevOps

Opublikowany: 2020-10-02

Organizacje coraz częściej integrują metodykę DevOps z procesami tworzenia aplikacji. Według Amazon Web Services (AWS), DevOps jest bardzo obiecujący dla organizacji, ponieważ może zwiększyć szybkość i możliwość wdrażania nowych aplikacji i usług. Dzieje się tak, ponieważ zespoły programistyczne i operacyjne współpracują ze sobą w całym cyklu życia aplikacji. (Zespoły bezpieczeństwa mogą również zaangażować się w proces znany jako DevSecOps). Wspólnie pracownicy programistyczni i operacyjni używają rozszerzonych stosów technologii i narzędzi do automatyzacji procesów, które tradycyjnie wykonywali ręcznie.

Nie trzeba dodawać, że organizacje mogą czerpać wiele korzyści, przyjmując model DevOps. Pozostawieni ich silosom, programiści, personel operacyjny, specjaliści ds. bezpieczeństwa, a nawet pracownicy działu kontroli jakości niekoniecznie znają przeszkody, które mogą stanąć na drodze do zakończenia projektu na czas. Dzieje się tak, ponieważ te grupy dodają coś innego do zadania. Jak zauważył Digital.ai, niekoniecznie podchodzą do swojej pracy z takim samym zrozumieniem kontekstu biznesowego lub wartości nowej aplikacji. W związku z tym zespoły te mogą mieć nawet przeciwstawne cele, które mogą wstrzymywać projekt i prowadzić do walk wewnętrznych.

Certyfikaty cyfrowe: wyzwanie dla DevOps, aby nadążyć za bezpieczeństwem

Organizacje chcą jak najlepiej wykorzystać integrację swoich różnych zespołów w ramach modelu DevOps. Uznając ten fakt, nie jest zaskakujące, że DevOps jako sposób myślenia stale się zmienia, próbując dopasować się do stale ewoluującego krajobrazu technologicznego. DevOps musi zatem nadążać za dziedziną bezpieczeństwa informacji.

Sid Phadkar, starszy menedżer produktu w Akamai, wyjaśnił tę kwestię TechRepublic :

Wraz z rosnącą liczbą naruszeń danych i zwiększonym naciskiem na przepisy dotyczące prywatności danych, takie jak PSD2 i RODO, zarówno w Stanach Zjednoczonych, jak i na świecie, organizacje zorientowane na DevOps będą zmuszone do nadania priorytetu staranności w środkach bezpieczeństwa w nadchodzącym roku na rynek. W miarę wprowadzania nowych przepisów coraz więcej programistów aplikacji będzie zobowiązanych do tworzenia ścisłych zasad bezpieczeństwa bezpośrednio w kodzie. Nastąpi wzrost liczby narzędzi DevOps, które zaspokoją automatyzację zadań związanych ze zgodnością w zespołach infosec, włączając w ten sposób środki bezpieczeństwa i zgodności do codziennych przepływów pracy CI.

Problem polega na tym, że dostosowanie DevOps do bezpieczeństwa nie zawsze jest łatwe. Rzeczywiście, Keyfactor zauważył, że wiele organizacji ma trudności z egzekwowaniem spójnych zasad bezpieczeństwa wokół DevOps z powodu konfliktów omówionych powyżej. Dobre praktyki bezpieczeństwa często mają styczność z terminowym dostarczeniem nowej aplikacji lub usługi. Bez odpowiednich narzędzi do obsługi DevOps personel ds. bezpieczeństwa nie może zatem wspierać deweloperów w sposób, w jaki muszą być wspierani. Deweloperzy będą zatem bardziej skłonni opierać się nowym praktykom bezpieczeństwa i znajdować niezgodne alternatywy dla nowych procesów, które je spowalniają.

Wyzwania te są szczególnie ważne dla zarządzania cyklem życia certyfikatów. Organizacje muszą zabezpieczyć cykl życia DevOps za pomocą PKI poprzez podpisywanie kodu lub tworzenie certyfikatu. Jednak, jak zauważył AppViewX, ta implementacja PKI często cierpi z powodu słabego wglądu w cykle życia certyfikatów i niespójnej komunikacji z urzędami certyfikacji.

Konwencjonalne potoki DevOps również często opierają się na ręcznych żądaniach w celu uzyskania zaufanych certyfikatów. Tego typu żądania podważają elastyczność cyklu życia oprogramowania. Większość kontenerów nie działa zbyt długo, więc jeśli realizacja tych żądań zajmie kilka dni, otrzymane certyfikaty cyfrowe będą praktycznie bezużyteczne, chyba że organizacja spowolni dostarczanie aplikacji. Taka dynamika utrudnia również DevOps samodzielne zarządzanie i monitorowanie tych certyfikatów. Członkowie zespołu mogą zatem szukać skrótów, uciekać się do procesów ad hoc lub kupować certyfikaty, które wykorzystują wiele standardów kryptograficznych — odmian, które zwiększają ryzyko bezpieczeństwa organizacji.

Te obawy dotyczą nie tylko analityków branżowych. Udostępniają je również profesjonaliści DevOps. W ankiecie z 2019 r. 74% specjalistów DevOps powiedziało Venafi, że obawia się, że wydawanie certyfikatów może spowolnić rozwój. Nieco ponad jedna trzecia (39%) programistów stwierdziła, że ​​powinna mieć możliwość obejścia tych zasad w celu spełnienia swoich umów dotyczących poziomu usług, podczas gdy mniej niż połowa (48%) respondentów wyraziła przekonanie, że programiści w ich organizacji zawsze żądają certyfikatów za pośrednictwem kanałów oraz metody zatwierdzone przez zespół ds. bezpieczeństwa.

Jak zespoły DevOps mogą najlepiej obsługiwać swoje certyfikaty

W odpowiedzi na omówione powyżej wyzwania, zespoły DevOps mogą najlepiej obsługiwać swoje certyfikaty, automatyzując procesy zarządzania certyfikatami. Jak zauważył DevOps.com, narzędzia do orkiestracji, takie jak Kubernetes, obsługują zarządzanie certyfikatami za pośrednictwem protokołu ACME. Kubernetes przechowuje klucze prywatne w Kubernetes Secret lub Hashicorp Vault, zapewniając w ten sposób bezproblemową integrację z systemem zarządzania certyfikatami. Zespoły DevOps mogą również cyfrowo podpisywać swoje kontenery za pomocą prywatnego urzędu certyfikacji, aby pomóc w weryfikacji danego kontenera, gdy komunikuje się on przez połączenie TLS.

Oprócz automatyzacji, DevOps musi zwiększyć widoczność swoich certyfikatów, aby uniknąć niepotrzebnych przestojów. Członkowie zespołu muszą mieć możliwość odnowienia certyfikatów przed ich wygaśnięciem i rozwiązania niewłaściwych konfiguracji, aby mieć pewność, że krytyczne usługi pozostają aktywne. TechBeacon zauważa, że ​​DevOps powinien używać opartych na API kolekcji automatyzacji zwanych „przepisami”, aby koordynować swoje procesy obejmujące klucze i certyfikaty, próbując zrównoważyć zarówno elastyczność, jak i bezpieczeństwo.

Masz jakieś przemyślenia na ten temat? Daj nam znać poniżej w komentarzach lub przenieś dyskusję na naszego Twittera lub Facebooka.

Rekomendacje redaktorów:

  • Jak wdrożyć ciągłe testowanie w DevOps?
  • Inżynierowie AWS DevOps robią ZABÓJCZĄCE – rozpocznij swoją karierę dzięki temu pakietowi kursów za 30 USD
  • Jak DevOps może chronić dane klientów
  • Jak DevOps zmienia tworzenie oprogramowania

Uwaga redaktora: David Bisson jest pisarzem zajmującym się bezpieczeństwem informacji i ćpunem bezpieczeństwa. Jest redaktorem współpracującym z IBM Security Intelligence i Tripwire The State of Security Blog, a także piszącym dla Bora. Regularnie tworzy również treści pisemne dla Zix i wielu innych firm z branży bezpieczeństwa cyfrowego.