De ce certificatele digitale sunt atât de importante pentru echipele tale DevOps

Organizațiile integrează din ce în ce mai mult DevOps în procesele lor de dezvoltare a aplicațiilor. Potrivit Amazon Web Services (AWS), DevOps este atât de promițător cu organizațiile, deoarece are potențialul de a crește viteza și capacitatea de a implementa noi aplicații și servicii. Face acest lucru prin faptul că echipele de dezvoltare și operare lucrează împreună de-a lungul întregului ciclu de viață al aplicației. (Echipele de securitate s-ar putea implica, de asemenea, într-un proces cunoscut sub numele de DevSecOps.) Împreună, personalul de dezvoltare și operațiuni utilizează stive și instrumente tehnologice extinse pentru a automatiza procesele pe care în mod tradițional le-au îndeplinit manual.

Inutil să spun că organizațiile pot obține multe beneficii prin adoptarea unui model DevOps. Când sunt lăsați în silozurile lor, dezvoltatorii, personalul de operațiuni, profesioniștii în securitate și chiar cei de la Asigurarea Calității nu știu neapărat barierele care ar putea sta în calea finalizării la timp a unui proiect. Asta pentru că aceste grupuri adaugă ceva diferit unei sarcini. După cum a menționat Digital.ai, aceștia nu își abordează neapărat munca din aceeași înțelegere a contextului de afaceri sau a valorii unei noi aplicații. Ca atare, aceste echipe ar putea avea chiar obiective opuse care ar putea reține un proiect și ar putea duce la lupte interioare.

Certificate digitale: o provocare pentru DevOps să țină pasul cu securitatea

Organizațiile doresc să profite la maximum de integrarea diferitelor lor echipe împreună sub un model DevOps. Recunoscând acest fapt, nu este surprinzător faptul că DevOps ca mentalitate se schimbă constant în încercarea de a se potrivi peisajului tehnologic în continuă evoluție. Prin urmare, DevOps trebuie să țină pasul cu domeniul securității informațiilor.

Sid Phadkar, manager senior de produs la Akamai, a spus acest lucru clar pentru TechRepublic :

Odată cu creșterea numărului de încălcări ale datelor și accentul sporit pe reglementările privind confidențialitatea datelor, cum ar fi PSD2 și GDPR, atât în ​​SUA, cât și la nivel global, organizațiile experte în DevOps vor fi forțate să acorde prioritate măsurilor de securitate suplimentare pe piață în anul următor. Pe măsură ce noi reglementări sunt implementate, mai mulți dezvoltatori de aplicații vor fi mandatați să construiască politici stricte de securitate direct în cod. Va exista o creștere a instrumentelor DevOps care se adresează automatizării mai multor sarcini legate de conformitate în cadrul echipelor infosec, încorporând astfel măsuri de securitate și conformitate în fluxurile de lucru zilnice CI.

Problema este că nu este întotdeauna ușor să aliniați DevOps cu securitatea. Într-adevăr, Keyfactor a remarcat că multe organizații se luptă să aplice politici de securitate consecvente în jurul DevOps din cauza conflictelor discutate mai sus. Bunele practici de securitate intră de obicei în contact cu livrarea la timp a unei noi aplicații sau a unui serviciu. Fără instrumentele potrivite pentru a sprijini DevOps, personalul de securitate nu poate sprijini dezvoltatorii într-un mod în care aceștia trebuie să fie sprijiniți. Prin urmare, dezvoltatorii vor fi mai înclinați să reziste noilor practici de securitate și să găsească alternative neconforme la noile procese care le încetinesc.

Aceste provocări reprezintă o preocupare specială pentru managementul ciclului de viață al certificatelor. Organizațiile trebuie să securizeze ciclul de viață DevOps cu PKI prin semnarea codului sau prin crearea unui certificat. Dar, așa cum a menționat AppViewX, această implementare a PKI suferă adesea de o vizibilitate slabă asupra ciclurilor de viață ale certificatelor și de comunicarea inconsecventă cu autoritățile de certificare.

De asemenea, conductele convenționale DevOps se bazează de obicei pe solicitări manuale pentru a obține certificate de încredere. Aceste tipuri de solicitări subminează agilitatea ciclului de viață al dezvoltării software. Majoritatea containerelor nu sunt valabile pentru foarte mult timp, așa că dacă aceste solicitări durează zile pentru a se finaliza, certificatele digitale rezultate vor fi efectiv inutile, dacă organizația nu încetinește livrarea aplicațiilor. Un astfel de dinamism face, de asemenea, dificil pentru DevOps să gestioneze și să monitorizeze pe cont propriu certificatele respective. Membrii echipei ar putea, prin urmare, să caute comenzi rapide, să recurgă la procese ad-hoc sau să achiziționeze certificate care utilizează mai multe standarde criptografice – variante care cresc riscul de securitate al organizației.

Aceste preocupări nu rezonează doar cu analiștii din industrie. Ele sunt, de asemenea, distribuite de profesioniștii DevOps. Într-un sondaj din 2019, 74% dintre profesioniștii DevOps i-au spus lui Venafi că sunt îngrijorați de faptul că emiterea de certificate ar putea încetini dezvoltarea. Puțin peste o treime (39%) dintre dezvoltatori au spus că ar trebui să poată eluda acele politici pentru a-și îndeplini acordurile privind nivelul de servicii, în timp ce mai puțin de jumătate (48%) dintre respondenți și-au exprimat convingerea că dezvoltatorii din organizația lor solicită întotdeauna certificate prin canale. și metode aprobate de echipa de securitate.

Cum echipele DevOps își pot gestiona cel mai bine certificatele

Ca răspuns la provocările discutate mai sus, echipele DevOps își pot gestiona cel mai bine certificatele prin automatizarea proceselor de gestionare a certificatelor. După cum a menționat DevOps.com, instrumentele de orchestrare precum Kubernetes acceptă gestionarea certificatelor prin protocolul ACME. Kubernetes stochează cheile private în Kubernetes Secret sau Hashicorp Vault, oferind astfel o integrare perfectă pentru sistemul de management al certificatelor. De asemenea, echipele DevOps își pot semna digital containerele cu un CA privat pentru a ajuta la verificarea unui anumit container pe măsură ce comunică printr-o conexiune TLS.

Pe lângă automatizare, DevOps trebuie să își mărească vizibilitatea certificatelor pentru a evita întreruperile inutile. Membrii echipei trebuie să poată reînnoi certificatele înainte de a expira și să remedieze configurațiile necorespunzătoare pentru a se asigura că serviciile critice rămân active. TechBeacon observă că DevOps ar trebui să folosească colecții de automatizare bazate pe API numite „rețete” pentru a-și orchestra procesele care implică chei și certificate, în încercarea de a echilibra atât agilitatea, cât și securitatea.

Ai vreo părere despre asta? Anunțați-ne mai jos în comentarii sau transmiteți discuția pe Twitter sau Facebook.

Recomandările editorilor:

• Cum se implementează testarea continuă în DevOps?
• Inginerii AWS DevOps fac o ucidere – pornește-ți cariera cu acest pachet de cursuri de 30 USD
• Cum poate DevOps să protejeze datele clienților
• Cum transformă DevOps dezvoltarea de software

Nota editorului: David Bisson este un scriitor de securitate a informațiilor și un pasionat de securitate. El este un editor colaborator la IBM Security Intelligence și The State of Security Blog de la Tripwire și este un scriitor colaborator pentru Bora. De asemenea, produce în mod regulat conținut scris pentru Zix și o serie de alte companii din spațiul securității digitale.