ความเรียบง่ายคือเคล็ดลับสู่ความสำเร็จใน DevSecOps

ความเรียบง่ายคือเคล็ดลับสู่ความสำเร็จใน DevSecOps

การรองรับแอปพลิเคชันหลังจากเปิดตัวเท่านั้นไม่เพียงพอต่อการรักษาความปลอดภัย ความปลอดภัยต้องคำนึงถึงเป็นอันดับแรกตลอดการพัฒนาแอปพลิเคชัน นั่นคือแกนหลักของโมเดล DevSecOps และยังเป็นหลักการสำคัญสำหรับหน่วยงานของรัฐบาลกลางที่ต้องคำนึงถึงเมื่อตัดสินใจซื้อกิจการ Greg Touhill อดีตหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของรัฐบาลกลางกล่าว“ที่ผ่านมา เราเห็นว่าการรักษาความปลอดภัยถูกผลักไส

โดยเป็นส่วนเสริมของทีมข้อกำหนดและผู้ที่กำลังซื้อกิจการ” 

Touhill กล่าวระหว่างการสัมภาษณ์กับFederal Monthly Insights – Secure Containerized Applications “การรักษาความปลอดภัยไม่เคยถูกระบุล่วงหน้าว่าเป็นข้อกำหนดในองค์กรของรัฐส่วนใหญ่ นับตั้งแต่นั้นเป็นต้นมา เราได้เห็นกิจกรรมเชิงรุกที่เกี่ยวข้องกับตัวแสดงของรัฐชาติ ตลอดจนกลุ่มอาชญากรที่จัดตั้งขึ้น โดยมุ่งเป้าไปที่ระบบของรัฐบาลโดยเฉพาะ”

แนวโน้มในพื้นที่ได้ย้ายไปยังลูกค้าจำนวนมากขึ้นเรื่อย ๆ ที่ต้องการความปลอดภัยเป็นข้อพิจารณาหลักตลอดกระบวนการพัฒนา สิ่งนี้นำไปสู่การเปลี่ยนแปลงวิธีที่นักพัฒนาสร้างแอปพลิเคชัน

“เราเห็นผู้คนพูดว่า ‘เฮ้ เราจำเป็นต้องรวมการรักษาความปลอดภัยเข้ากับการซื้อซอฟต์แวร์ของเรา เช่นเดียวกับการพัฒนา’ ดังนั้น ตอนนี้จึงมีความสำคัญอย่างมากในการรวมความปลอดภัยไว้ล่วงหน้าเป็นข้อกำหนด และด้วยเหตุนี้ ฉันคิดว่าผู้คนที่รวมเอา DevSecOps เป็นส่วนหนึ่งของกระบวนการพัฒนาซอฟต์แวร์ของพวกเขากำลังค้นพบว่า คุณจะได้รับผลิตภัณฑ์ที่ดีกว่าโดยไม่ต้องบำรุงรักษาน้อยลง เพราะในความเป็นจริงแล้ว มีกระบวนการทางวิศวกรรมที่มีระเบียบวินัยอยู่เบื้องหลังการพัฒนาโค้ด” Touhill ซึ่งปัจจุบันเป็นผู้อำนวยการแผนก CERT ที่สถาบันวิศวกรรมซอฟต์แวร์แห่งมหาวิทยาลัย Carnegie Mellon กล่าว “มันเป็นศิลปะน้อยกว่าวิทยาศาสตร์ ในอดีตเรามักจะให้คนทำงานศิลปะจำนวนมากในซอฟต์แวร์ แต่ปราศจากความเข้มงวดด้านวิศวกรรม

การบรรจุลงตู้คอนเทนเนอร์เป็นส่วนสำคัญของการรักษาความปลอดภัย

เมื่อพัฒนาแอปพลิเคชัน Touhill กล่าวว่าการบรรจุคอนเทนเนอร์ที่ทำอย่างถูกต้องสามารถทำให้ระบบเติบโตเต็มที่และลดต้นทุนลงในขณะที่เร่งความสามารถในการปฏิบัติงาน เขากล่าวว่าด้วยการหมุนเครื่องเสมือนและตั้งค่าคอนเทนเนอร์เพื่อเรียกใช้กระบวนการบางอย่าง เมื่อไม่ต้องการใช้อีกต่อไป ผู้ดูแลระบบสามารถแยกชิ้นส่วนด้วยระบบอิเล็กทรอนิกส์ ช่วยประหยัดเวลาและเงินโดยไม่จำเป็นต้องซื้อคอมพิวเตอร์เครื่องใหม่ขนาดใหญ่

“มันน่าตื่นเต้นมาก และความจริงของเรื่องนี้ก็คือ เราเห็นผู้คนจำนวนมากขึ้นเรื่อยๆ ที่ลงทุนในความปลอดภัยของคอนเทนเนอร์และแอปพลิเคชันที่ทำงานอยู่ภายในพวกเขา” Touhill กล่าว

Touhill กล่าวว่าความซับซ้อนเป็นสิ่งที่ตรงกันข้ามกับการรักษาความปลอดภัย หมายความว่าระบบควรใช้งานง่ายสำหรับผู้ใช้ที่ต้องการ

“เมื่อพูดถึงการนำเทคโนโลยีเหล่านี้ไปใช้ เราต้องการให้เกิดความซับซ้อนขึ้นกับกลุ่มคนที่พยายามโจมตีเรา ไม่ใช่กลุ่มคนที่พยายามใช้ประโยชน์จากเทคโนโลยี” Touhill กล่าว

คอนเทนเนอร์ตาม Touhill ช่วยให้บรรลุเป้าหมายความเรียบง่ายนั้นโดยการปรับปรุงประสบการณ์ผู้ใช้ แต่เขายังกล่าวด้วยว่ายังมีความคืบหน้ามากมายในการปรับปรุงประสบการณ์ผู้ใช้นั้น

“เมื่อคุณดูความซับซ้อนและผลกระทบของความซับซ้อน ฉันคิดว่าเรายังมีทางไปต่อได้” Touhill กล่าว “เนื่องจากมีการวัดความซับซ้อน โดยเฉพาะอย่างยิ่งกับการพยายามเชื่อมต่อและเชื่อมโยงเทคโนโลยีประเภทต่าง ๆ และผลิตภัณฑ์ต่าง ๆ ทั้งหมดเข้าด้วยกัน คุณเกือบจะเข้าใจแล้ว หากคุณกำลังจะเลือกคอนเทนเนอร์ คุณสามารถเลือกได้เพียงอันเดียวโดยไม่มีปัญหาเกี่ยวกับอินเทอร์เฟซเฉพาะ หากคุณใช้หลายคอนเทนเนอร์พร้อมกัน และคุณยังสามารถใช้เทคโนโลยีคอนเทนเนอร์ได้หลายประเภท มันแค่เพิ่มระดับความยากให้กับผู้ปฏิบัติงานที่พยายามทำสิ่งต่างๆ ให้สำเร็จ”

วันนี้ Touhill และทีมของเขากำลังมองหาที่จะสร้างสรรค์สิ่งใหม่ๆ ต่อไปในขอบเขตของ DevSecOps

“มันเป็นหนึ่งในทีมของเราที่ตรวจสอบเฟิร์มแวร์บนชิปที่มีอยู่ สามารถตรวจสอบได้ว่าเฟิร์มแวร์บนชิปมีการเปลี่ยนแปลงหรือเสียหายในกระบวนการผลิตหรือการจัดจำหน่ายหรือไม่” Touhill กล่าว “ดังนั้น เรากำลังลดระดับ Ring Zero และเข้าสู่ระดับชิป เรากำลังทำวิจัยที่น่าสนใจจริงๆ โดยมองข้ามแค่ IT ขององค์กรเมื่อมีการเชื่อมต่อมากขึ้นเรื่อยๆ Enterprise IT ไม่ใช่คำจำกัดความเดียวของระบบนิเวศไซเบอร์ของคุณ เพราะคุณมีระบบควบคุมอุตสาหกรรม เทคโนโลยีการดำเนินงาน Internet of Things และอุปกรณ์ที่เปิดใช้งานสเปกตรัม เช่น โทรศัพท์มือถือและอุปกรณ์พกพาของคุณ”

credit: pescalluneslanparty.com
sfery.org
planesyplanetas.com
vosoriginesyourroots.com
citadelindustry.com
tomklaasen.net
tglsys.net
nezavisniprostor.net
greensys2013.org
northpto.org