Безопасность DevOps. Стратегическое планирование

gzcphlahkanbubqzoodqpykjahi.png
Интеграция инструментов оценки рисков в рабочий процесс DevOps. Источник: Gartner

Почти двадцать лет индустрия IT всё активнее переходит к внедрению практик DevOps. Автоматизация технологических процессов сборки, настройки и развёртывания ПО со взаимной интеграцией этих процессов — всё это помогает в разработке высококачественных приложений на высокой скорости и с большей эффективностью благодаря использованию конвейеров CI/CD (Continuous Integration/Continuous Delivery).

Хотя внедрение практик DevOps повышает эффективность и скорость выпуска приложений, оно не лишено недостатков. Сам конвейер работает на непрерывной основе, включая тестирование и исправление багов. Но когда речь заходит о безопасности, то проверка уязвимостей и мониторинг безопасности, как правило, стоят в конце цикла, перед развёртыванием продукта.

Это не самый лучший подход, считают специалисты по безопасноcти.
Если относиться к безопасности как к чему-то второстепенному, то увеличивается риск кибератак и утечки данных. Подобное отношение к безопасности в системе DevOps чревато опасностью. По прогнозу Cybersecurity Ventures, к 2025 году мировой ущерб от киберпреступлений достигнет астрономической суммы в $10,5 трлн (по сравнению с $3 трлн в 2015 году). Это больше, чем глобальный ущерб от всех стихийных бедствий или мировой оборот всех наркотиков вместе взятых. В таких условиях отношение к компьютерной безопасности надо кардинально менять. Она должна стать основным приоритетом и занять полноценное место в конвейере CI/CD.

Процесс постепенно идёт. По прогнозу Gartner, к 2027 году практика DevSecOps будет внедрена в 85% команд по разработке продуктов (по сравнению с 30% в 2022 году).

Как видим, безопасность уже стала неотъемлемым приоритетом для многих организаций-разработчиков по всему миру. Но некоторые ещё не приняли этот подход. Как же подготовиться к его внедрению?

Стратегическое планирование


Аналитики Gartner рекомендуют подготовиться к изменению корпоративной культуры и практик разработки, а также внедрению нового инструментария.

iuxqdz822al2_svnqtq6vqwch0i.png

Основные выводы исследования Gartner:

  • Организации сталкиваются со всё более сложной сетью нормативных требований, требований к соответствию и безопасности. Однако большинство ИТ-отделов испытывают трудности с обеспечением безопасности приложений и соблюдением нормативных требований, сохранив при этом эффективность кода и процесса разработки.
  • Команды безопасности часто изолированы от потока непрерывной интеграции/непрерывной доставки (CI/CD) в DevOps, что приводит к узким местам и «зависаниям», которые препятствуют манёвренности и повышению безопасности.
  • Традиционные подходы к тестированию безопасности приложений слишком медленны и ориентированы на прохождение тестов, что также создаёт проблемы с принятием мер по результатам тестирования на безопасность и соответствие нормативным требованиям.


Путь к внедрению DevSecOps может быть сложным, и хотя в краткосрочной перспективе придётся понести некоторые первоначальные расходы, но в долгосрочной перспективе предприятия могут получить значительную экономию. Особенно с учётом того, что средняя стоимость утечки данных в 2020–2021 годах оценивается примерно в $4,24 млн.

Три ключевых этапа


Внедрение DevSecOps включает три ключевых этапа:

  1. Сделать безопасность общей обязанностью с помощью корпоративной программы обучения. Пример такой программы для разработчиков приведён в отчёте Gartner:
    o6alrspe6ji5pafp6uko1iyo2me.png
  2. Внедрить практики безопасности на раннем этапе разработки (подход Shift-Left), а не только постфактум (Shift-Right).
    bltd8pun8fvtejovz_jpehmxxky.png

    Проактивный подход экономит время и ресурсы, он включает:

    • моделирование угроз;
    • анализ кода (код-ревью);
    • автоматизацию безопасности;
    • сканирование на предмет уязвимостей.

    Для сравнения, защита постфактум (Shift-Right) включает защиту конечного веб-приложения и API, мониторинг безопасности и аккуратный подход к использованию облачных решений.
  3. Интегрировать инструменты безопасности в рабочий процесс DevOps, как показано на КДПВ.


Таковы рекомендации из отчёта Gartner. Очень важно, чтобы в процессах оценки безопасности участвовали не только профильные специалисты, но и рядовые разработчики на ранних этапах написания кода. Пока это не стало повсеместной практикой, но растущие риски угроз просто вынуждают пойти на такие меры.
В блоге GlobalSign даются рекомендации по более максимально плавному и эффективному внедрению практик DevSecOps. В следующих статьях на Хабре мы планируем изложить эту информацию в структурированном виде.

© Habrahabr.ru