Почему внедрение безопасности с нулевым доверием необходимо для DevSecOps

Киберугрозы сегодня – это не только государственный шпионаж. Нападения исходят от отдельных лиц различными гнусными и неприятными способами.

Эта среда создает уникальную и значительную проблему. Правила взаимодействия изменились: безопасность стала более разнообразной и гибкой, чем вчерашний подход брандмауэров веб-приложений (WAF).

Сегодняшние требования требуют чего-то совершенно отличного от сканирования уязвимостей, где традиционный WAF использует статический анализ кода, сканеры уязвимостей и обычные средства контроля безопасности для мониторинга и обнаружения уязвимостей приложений.

Ландшафт угроз больше не является статичным, и новые атаки происходят почти ежедневно, что приводит к быстрому увеличению количества атак. Количество и частота этих угроз выходят за пределы того, что может защитить WAF.

В современном мире WAF больше не эффективны для защиты безопасности приложений; на самом деле, WAF в лучшем случае являются необходимым злом для обеспечения безопасной работы приложения, осознающего риски, и команды DevOps.

Введите подход «нулевого доверия» к безопасности. В новую эпоху DevOps решения безопасности должны быть легко доступны и способны справляться со сложностью, присущей приложению. Безопасность с нулевым доверием может предоставить инструменты, которые помогут в этом процессе.

Еще одной серьезной проблемой сегодня является растущая распространенность DevOps. DevOps требует от групп безопасности более тесного сотрудничества с разработчиками, которые могут не иметь опыта и требовать подхода к безопасности, отличного от традиционного подхода к безопасности приложений.

В среде DevOps разработчики будут писать и тестировать все в коде. Они не эксперты по безопасности. У них нет глубоких знаний об уязвимостях безопасности, поэтому они обычно полагаются на третьи стороны, которые помогут им защитить свой код.

Решение безопасности, включающее в себя все инструменты DevOps, связанные с безопасностью, лучше всего подходит для таких ситуаций, поскольку оно позволяет легко отслеживать приложения и помогать разработчикам писать безопасный код.

Недостаток использования подхода нулевого доверия с DevOps

Не все приложения нуждаются в усилении защиты. Однако некоторые из них особенно уязвимы и заслуживают большего внимания. Они должны быть соответствующим образом подготовлены, чтобы снизить риск.

Многие приложения не настолько важны, чтобы подвергать риску пользователей и компании, и поэтому им может быть присвоен особый статус нулевого доверия. Этот подход требует детальной проверки всего приложения, чтобы убедиться в том, что все бизнес-правила соответствуют требованиям и что при необходимости можно остановить угрозу.

Поскольку в эту эпоху разработчики все еще пишут приложения, важность безопасности обычно упускается из виду, а во многих случаях даже нежелательна.

ИТ-организации должны сосредоточиться на уязвимостях, которые находятся под их контролем, и избегать сосредоточения внимания только на недостатках, которые привносят другие. Но им также необходимо повысить осведомленность обо всех текущих угрозах и приложить усилия для защиты критически важных компонентов приложения.

Как нулевое доверие помогает DevOps?

Самая важная проблема, с которой сталкиваются сегодняшние технологии, заключается в том, что ИТ-инфраструктура превращается из решения внутри компании в поставщика решений. Основные роли ИТ-команды — это сочетание опыта в области «защищенной» инфраструктуры, поддержки и настройки, а также безопасности.

Проблема в том, что мы уходим от статического мира, где ИТ-команда в первую очередь заботилась о том, как работают системы. Сегодня эта парадигма постепенно угасает, и ИТ-отделы становятся все больше похожими на поставщика услуг, который также может поставлять клиентам программные решения.

В таком сценарии пользователи ожидают, что ИТ-команда также предоставит услуги безопасности.

Создание решения для современной среды DevOps

Решения безопасности Zero Trust помогают создавать и поддерживать подходящую среду для мира DevOps. Организации должны обеспечить безопасность каждого элемента своих приложений.

Для эффективной и безопасной автоматизации безопасности требуется полностью интегрированный набор инструментов, которые могут помочь командам DevOps обеспечить безопасность разработки и развертывания приложений. Этот стек включает в себя безопасность конечных точек, сетевую безопасность, мобильную безопасность, безопасность веб-приложений, облачную безопасность и другие аспекты безопасности.

Можем ли мы тогда объявить о смерти страхов безопасности?

Традиционная парадигма безопасности, ориентированная на дефекты приложений и связанные с ними проблемы, должна быть заменена современной парадигмой безопасности, основанной на DevOps и всем, что в нем участвует.

Традиционная парадигма безопасности при разработке приложений была очень ориентирована на безопасность. В этой парадигме разработчикам необходимо было понять проблему приложения и, соответственно, написать безопасный код для решения этой проблемы. Разработчикам было очень сложно создавать безопасный код.

Это был очень негибкий подход к безопасности. Организации часто прибегали к готовым решениям, таким как список управления доступом (ACL), который был решением, но не обязательно комплексным, поскольку он мог быть не в состоянии идентифицировать угрозы.

Напротив, DevOps — это в основном совместная командная работа. Сегодня обычно опытные разработчики, умные DevOps-инженеры, специалисты по безопасности, бизнес-аналитики и менеджмент работают вместе.

Безопасность с нулевым доверием поддерживает все этапы DevOps Pipeline

Сегодня технология Zero Trust Security полностью интегрирована с DevOps, и эта методология является настоящим отличием безопасности DevOps.

Стандартная структура ZT включает в себя следующие компоненты:

• Аутентификация пользователя
• Комплексная оценка угроз на основе сигнатур
• Оценка угроз на основе личных данных
• Оценка угроз на основе поведения
• Межсетевой экран на базе хоста
• Назад к стене контроля доступа
• Список контроля доступа (ACL)

Безопасность с нулевым доверием предлагает комплексный подход

Традиционная парадигма безопасности сводилась к контролю на основе рисков (RBCC), и большинство предприятий использовали открытую общедоступную сеть в качестве шлюза для доступа к своим внутренним сетям. Благодаря открытой сети также можно было получить доступ ко всему, что находится в сети.

Поскольку нет разделения контроля доступа и контроля безопасности, организации не могут получить представление об угрозах для организации.

Zero Trust Security предлагает комплексный подход. Он идентифицирует все компоненты потока и защищает все активы на протяжении всего конвейера.

Он определяет «модель угроз» — заранее определенный набор рисков. Затем решение работает совместно с DevOps для определения приоритетов, инвентаризации и устранения угроз. Система обнаруживает аномалии в потоке и работает с DevOps для смягчения и предотвращения нарушений. Эта модель обеспечивает безопасность уровня предприятия, очень похожую на сетевую безопасность в старые времена.

Безопасность с нулевым доверием сегодня уже используется на многих предприятиях

Многие крупнейшие предприятия уже внедрили Zero Trust Security в своих сетях. Многие крупнейшие предприятия уже внедрили Zero Trust Security в своих сетях. IBM и HP используют технологию Zero Trust Security уже много лет, еще до того, как этот термин стал широко используемым.

Такие компании, как Airbus, BP, Citibank, Cisco, HP, Etisalat, Liberty Mutual, Pfizer, United и другие, уже с полным успехом развернули систему Zero Trust Security в своих сетях. Эти организации приняли комплексный подход и интегрировали все компоненты конвейера DevOps с компонентами Zero Trust Security.

Эта программа последипломного образования по DevOps, включающая более 20+ реальных проектов и мастер-классов от преподавателей Калифорнийского технологического института CTME, может помочь вам ускорить вашу карьеру в DevOps всего за 9 месяцев. Зарегистрируйтесь сегодня, чтобы получить опыт, который изменит вашу жизнь!

Заключительные мысли

Комплексный подход к безопасности, ориентированный на все этапы конвейера DevOps, Zero Trust Security представляет собой подход безопасности, ориентированный на угрозы.

Согласно принципам безопасности с нулевым доверием, первым шагом в подходе организации с нулевым доверием является полная интеграция инструментов и процессов, поддерживающих разработку приложений, с инструментами и процессами, поддерживающими безопасность приложений.

Следующим шагом является интеграция этих инструментов со знаниями и ресурсами, поддерживающими защиту приложений.

Наконец, последним шагом является создание программы информационной безопасности, которая включает в себя традиционные меры безопасности и формализованный план защиты всех ресурсов, используемых для разработки приложений.

Конечная цель — использовать весь потенциал каждого инструмента на каждом этапе пути для обеспечения безопасности на уровне предприятия.

Чтобы развить навыки в DevOps, изучите программу последипломного образования Caltech CTME в DevOps. Для развития навыков в области кибербезопасности учащимся в Америке следует рассмотреть возможность участия в учебном лагере UCI по кибербезопасности, а учащимся в Индии и других странах следует изучить программу последипломного образования по кибербезопасности совместно с Массачусетским технологическим институтом.