Знакомство с DevSecOps Guideline: правила организации безопасной разработки на уровне процессов

h6fdmbqeayyvclwkj9pl4utxuhe.jpeg

Количество киберинцидентов постоянно увеличивается, что вынуждает компании реагировать на растущие риски и делает практику DevSecOps обязательной для соблюдения при разработке ИТ-продуктов. При этом топорное внедрение мер не просто не гарантирует безопасность разработки, а может вызвать обратный эффект.
Разбираемся, что и когда нужно делать, чтобы разработка была безопасной.

Материал подготовлен по мотивам вебинара «DevSecOps: организация безопасной разработки на уровне процессов».

DevOps vs DevSecOps


DevOps — методология разработки ПО, которая объединяет разработку (Development) и операции (Operations) для выстраивания более эффективного и быстрого процесса разработки и доставки приложений. Основная цель DevOps — наладить непрерывную связь между разработчиками, тестировщиками и администраторами, чтобы сделать жизненный цикл продукта непрерывным.

DevSecOps можно рассматривать в качестве апдейта методологии DevOps: подход подразумевает не расширение классического пайплайна DevOps, а только интеграцию в него методов безопасности. При этом, согласно DevSecOps, к циклу разработки подключаются специалисты по информационной безопасности, которые гарантируют, что:

  • реализуемые решения не противоречат требованиям ИБ и регламентам компании;
  • в конфигурации нет уязвимых мест;
  • все компоненты системы имеют актуальные патчи, корректно настроены;
  • разработана эксплуатационная документация в контексте ИБ.


Согласно практике DevSecOps, о безопасности разработки нужно начинать думать еще на этапе планирования будущего продукта. В противном случае может возникнуть ситуация, когда, например, код написан идеально, но в техническом дизайне не исключена возможность пользователей назначать себе привилегированные права, что полностью нивелирует любые дальнейшие меры безопасности.

wcbhginwedmh6gt3ywrjvgmfrbc.png
Различия между жизненными циклами DevOps и DevSecOps

Следование методологии DevSecOps дает разработчикам и бизнесу ряд преимуществ.

  • Повышение безопасности приложений. Практика DevSecOps гласит, что безопасность должна обеспечиваться и соблюдаться на каждом этапе жизненного цикла продукта. В результате проект получает эшелонированную глубокую защиту от любых возможных угроз информационной безопасности.
  • Сокращение Time-to-market. Обычно продукт проверяется на соответствие ИБ ближе к релизу. Соответственно, при обнаружении любых проблем разработчики вынуждены откатываться к этапу с уязвимостями, устранять их и повторно проверять проект. Это не только сложно и дорого, но и долго, что влияет на сроки релиза продукта. С DevSecOps большинство ошибок удается уловить в момент их появления, что уменьшает время на устранение багов и сокращает Time-to-market.
  • Улучшение качества продуктов. Концепция DevSecOps подразумевает глубокую проработку всех деталей проекта — сценариев пользовательских действий, нужных функций, вариантов реагирования на уязвимости и не только. Это несколько усложняет проектирование и разработку продукта, но позволяет создать решение, которое больше удовлетворяет запросы пользователей.
  • Внедрение культуры безопасности. Раньше разработчики были ориентированы на быстрый релиз проектов или оперативное закрытие задач в зоне своей ответственности. Заботы о безопасности, как правило, отдавались на откуп тестировщикам и специалистам по ИБ. С внедрением DevSecOps появляется коллективная и персональная ответственность: любая допущенная ошибка сразу вернется на доработку. 
  • Выстраивание коммуникации и унификация подходов. Тесное взаимодействие разработчиков, тестировщиков, администраторов и безопасников означает унификацию используемых инструментов и методов. Это помогает уйти от «зоопарка технологий» и упрощает онбординг.


Гайдлайн по DevSecOps 


Есть несколько подходов и рекомендаций, определяющих нормы внедрения DevSecOps-принципов в процесс разработки. Одним из базовых фолиантов в этом контексте является DevSecOps Guideline от OWASP — формируемое сообществом руководство, которое поясняет, как правильно выстроить процесс безопасной разработки и выявлять любые проблемы на ранних стадиях их возникновения.

Основная цель правил, описанных в DevSecOps Guideline, — обеспечить безопасность:

  • кода (Custom Code Security),
  • цепочки поставок (Supply Chain Security),
  • среды исполнения (Runtime Protection).


При этом на каждой стадии нужны свои меры и подходы. Таких стадий семь:

  • Init (стадия инициализации),
  • Pre-commit,
  • Commit-CI,
  • Сontinuous-Delivery-CD,
  • Deploy-CD-Colive,
  • Operation,
  • Governance (стадия управления).


Разберем подробнее каждую из них.

Стадия инициализации (Init)


Инициализация — этап, на котором еще нет кода, а есть только идея будущего продукта.  

По рекомендациям DevSecOps Guideline, на этой стадии важно:

  • привить культуру безопасной разработки внутри команд;
  • выделить Security Champion внутри каждой из команд, то есть сотрудников команды разработки, выступающих в интересах группы ИБ.


При этом важно понимать следующее.

  • Культуру безопасной разработки нельзя насаждать и навязывать. Если специалист не понимает ценности нововведений, любая инициатива может быть задвинута в дальний ящик и саботирована. Оптимально, чтобы приход к DevSecOps был эволюционным, а не революционным. Также важно, чтобы идея культуры безопасности пронизывала все структуры компании, а инициатором ее внедрения было руководство.
  • Обычно на роль Security Champion назначают специалиста из команды. Но важно, чтобы человек на этой роли был независим и непредвзят — например, чтобы не замалчивал о возможных рисках под давлением начальства. Поэтому в качестве Security Champion нередко выступает тимлид, а иногда и вовсе специалисты из отдела информационной безопасности, тестировщики или аудиторы. Также важно, чтобы в команде был не один Security Champion: это повышает Bus factor и зависимость от одного специалиста, чего лучше не допускать.


Стадия Pre-commit


Основная задача на этапе Pre-commit — проверить безопасность на стадии, когда код написан, но еще не попал в систему контроля версий. 

DevSecOps Guideline предписывает, что для этого нужны комплексные меры.

  • Разработать модели угроз. Нужно определить, как будет работать приложение, в каких контурах, с какими правами доступа и принципами взаимодействия с другими компонентами. Важно выделить все потенциальные риски, предусмотреть защиту от них и разработать алгоритм действий на случай их реализации.
  • Проверка кода на наличие секретов. Важно, чтобы в репозиторий вместе с исходным кодом не попали секретные данные: пароли, токены доступа, идентификационные данные, описание особенностей реализации и другие. Проверку на наличие секретов можно проводить как вручную, так и с помощью инструментов. Лучше в комплексе.
  • Безопасное конфигурирование репозитория. Репозиторий должен быть настоящим сейфом. Для этого следует фильтровать файлы на запись, ограничивать права на доступ (в том числе на запись) к хранилищу по принципу наименьших привилегий, мониторить и фиксировать все обращения к репозиторию.
  • Использование линтеров. Работа с линтерами — возможность статически проверить код на наличие подозрительных элементов, сложного синтаксиса, структурных ошибок, стилевых нарушений, «необычных» паттернов объявления функций и других проблем. С их помощью можно на ранних стадиях найти и закрыть дыры в коде, которыми могут воспользоваться злоумышленники. 


Стадия Commit


Коммит — этап, когда код выкатывается в паблик и становится доступным для других пользователей (даже если репозиторий закрыт и доступ к коду есть у ограниченного количества людей). Фактически на этой стадии код впервые «светится» вовне и может стать целью злоумышленников, поэтому меры на этапе коммита должны быть соответствующими. 

Здесь важно:

  • Проводить статический анализ кода (SAST). Метод помогает находить ошибки в коде, которые могут привести к проблемам безопасности, без необходимости запуска приложения. SAST работает по принципу линтера, но с другим функционалом. Применение метода уменьшает вероятность попадания уязвимостей в продакшен.
  • Выполнять анализ уязвимостей (SCA). Подразумевает поиск уязвимостей в сторонних компонентах, используемых в приложении.
  • Безопасно конфигурировать образы контейнеров. Современные подходы к безопасности подразумевают выстраивание эшелонированной обороны с независимыми средствами на каждом уровне. Безопасная конфигурация образов — один из уровней выстраивания безопасности приложений. Оптимально использовать Distroless-образы, которые состоят из минимального количества исполняемых файлов и библиотек, необходимых для запуска. В Distroless-образах нет полноценных пакетов со всеми файлами, присутствующими в обычной системе, что уменьшает поверхность атаки и количество потенциальных мест входа для злоумышленников. Более того, если образ будет без «обвеса», даже в случае взлома злоумышленнику будет сложно разобраться, как с ним работать.
  • Сканировать артефакты IaC. В концепции IaC именно код определяет параметры инфраструктуры, ее безопасность, целостность и надежность. Чтобы исключить все риски, надо сканировать артефакты IaC (например, скрипты Terraform) на наличие несанкционированных привилегированных эскалаций, дрифтинга конфигураций, ошибок и неверного синтаксиса, несоблюдения нормативных требований и другие проблемы. 
  • Проводить интерактивный анализ (IAST). IAST — гибридный механизм проверки, в котором комбинируются преимущества SAST и DAST. IAST позволяет динамически проверить приложение методом «серого ящика» (реализация приложения частично или полностью неизвестна), имитируя внешние атаки через разные уязвимости.


Стадия Continuous Delivery


По мнению специалистов OWASP и комьюнити, на этапе Continuous Delivery главными практиками обеспечения безопасности разработки являются:

  • динамический анализ (DAST, Dynamic Application Security Testing) — проверка с имитацией внешних атак на разные векторы защиты;
  • обеспечение безопасности API;
  • проверка на наличие Misconfiguration (некорректной конфигурации).


Здесь стоит отметить, что обеспечение безопасности API в контексте стадии Continuous Delivery, до деплоя, нацелено именно на построение безопасной конфигурации API. То есть на этом этапе нужно предусмотреть и спроектировать:

  • механизмы подключения;
  • системы проверки прав доступа, сертификатов и токенов;
  • изолированность подключений, в том числе DMZ, чтобы даже после взлома API злоумышленник не смог проникнуть во внутреннюю сеть;
  • механизмы фильтрации запросов (например, по IP).


Такую подготовку важно проводить именно на этапе Continuous Delivery, чтобы проблемы уязвимости и незащищенности API не стали всплывать на стадиях, когда фикс таких проблем будет стоить дороже. 

В контексте оценки Misconfiguration задачи сводятся к проверке конфигурационных файлов и контейнеров на целостность, отладку, ответствие рисков, что в деплой попадет «что-то лишнее» — например, грязный реестр, устаревший контейнер или вообще случайный файл. Игнорировать этот этап не стоит — можно надеяться, что успешный деплой подтвердит отсутствие ошибок, но даже успешный запуск не гарантирует, что проблемы не дадут о себе знать впоследствии.

Стадия Deploy-CD


От стадии к стадии уровень разработки и используемые практики трансформируются. Соответствующим образом трансформируются и меры организации безопасной разработки. Так, на стадии деплоя первоочередным становится решение двух глобальных массивов задач.

  • Организовать надежное хранение ключей и сертификатов. Любая утечка этих файлов и данных повышает риск взлома системы и других серьезных последствий. Чтобы хранение было безопасным, важно использовать надежное хранилище, строго регламентировать порядок взаимодействия с этими данными, разграничивать права доступа к ним. Хранить ключи и сертификаты вместе с конфигурационными файлами как в закрытой, так и в «открытой» части сети не стоит.
  • Обеспечить безопасность приложения с точки зрения Cloud-Native-подхода. Согласно методологии Cloud Native, важно обеспечить безопасность на всех уровнях инфраструктуры, включая сеть, хранилище данных, контейнеры и микросервисы. По DevSecOps Guideline от OWASP к обязательным мерам защиты на этапе Deploy-CD относится также выстраивание процессов и подключение инструментов для автоматического мониторинга, обнаружения уязвимостей и атак, а также их устранения. Наряду с этим важно использовать Cloud Native Application Protection Platform (CNAPP) — комплексное решение, сочетающее инструменты для защиты серверных рабочих нагрузок, а также выявления проблем неправильной конфигурации облака и рисков несоответствия нормативным требованиям.


Стадия Runtime


Даже деплой приложения и его вывод в Runtime не означает прекращение работы по созданию условий для безопасной разработки на уровне процессов. Более того, на этой стадии, когда потенциальных угроз становится больше (например, начинается работа с критическими и пользовательскими данными), количество необходимых мер тоже увеличивается. 

Так, согласно DevSecOps Guideline к моменту запуска приложения надо:

  • внедрить практику анализа уязвимостей инфраструктуры (анализ инфраструктуры облака, анализ контейнеров в Runtime) и предусмотреть порядок действий на случай обнаружения аномалий (например, заменять контейнеры, отправлять их в карантин или вообще удалять);
  • внедрить процессы тестирования на проникновение (Black box, Grey box, White box), в том числе с привлечением внешних команд и использованием автоматизированных инструментов;
  • провести тестирование методом Breach and Attack Simulation — подход позволяет непрерывно моделировать кибератаки для проверки кибербезопасности без влияния на системы в проде;
  • подключиться к BugBounty — программа дает возможность привлекать сторонних специалистов к тестированию продукта и поиску уязвимостей и, как результат, получать оперативную обратную связь и сокращать время реагирования на возможные проблемы безопасности. Но подключаться к BugBounty стоит только при полной уверенности в безопасности приложения — в противном случае рисков от участия в программе будет больше, чем профита;
  • сконфигурировать процессы логирования и мониторинга.


Стоит понимать, что выстраивание такой эшелонированной обороны, которая нужна на стадии Runtime, требует от компании определенного уровня зрелости с точки зрения безопасности и значительного запаса ресурсов — как финансов, так и времени специалистов.

Стадия управления (Governance)


В условиях идеального мира к этапу эксплуатации приложение приходит с полностью проработанной, настроенной и автоматизированной (в части использования инструментов) системой безопасности. То есть все меры и подходы, описанные ранее, должны быть внедрены, приняты и корректно работать.

На стадии Governance фактически добавляются практики, больше относящиеся к процессному управлению. Например, согласно DevSecOps Guideline, на стадии управления надо:

  • выполнять аудит соответствия требованиям по безопасности;  
  • внедрять централизованное управление уязвимостями;
  • использовать инструменты Policy-as-code;
  • проводить анализ зрелости (Security Maturity);
  • внедрить процессы Security Benchmarking.


Фактически внедрение этих мер замыкает цикл обеспечения безопасности и делает весь путь разработки понятным и прозрачным, а продукт — устойчивым к потенциальным угрозам. 

Вывод


Создание условий для разработки безопасных приложений — непрерывный процесс, который не останавливается даже после выкатки в прод и требует постоянного вовлечения как разработчиков, так и других ИТ-специалистов. Более того, чем выше стадия готовности продукта, тем больше усилий нужно прикладывать для его защиты от внутренних и внешних угроз, а также технических сбоев — меры должны быть соразмерны увеличению рисков. 

При этом главным условием, определяющим успешность всех усилий, является понимание значимости безопасной разработки на всех уровнях — от руководителя до специалистов на местах. Без внедрения культуры безопасной разработки любые затраты и усилия не принесут ожидаемых результатов.

© Habrahabr.ru