مشاركة عبر

تأمين استراتيجية وعملية DevOps

  • مقالة

توضح هذه المقالة كيفية تأمين استراتيجية DevOps ومعالجتها لمؤسستك في سياق أمان التطوير.

اعتماد استراتيجية DevSecOps التي تمزج DevOps مع عناصر نهج الأمان والعمليات الكلاسيكية. في نموذج تطوير الشلال الكلاسيكي، يتم تضمين آليات الأمان والحوكمة الأخرى في إصدارات كبيرة طويلة الأجل. في نموذج DevOps، يتم دفع التغييرات التكرارية الأصغر في الإصدارات السريعة. يتيح التكرار السريع للمؤسسات تلبية توقعات السوق المتطورة باستمرار.

نهج استراتيجيات DevSecOps كحالة مثالية يجب أن تعمل مؤسستك باستمرار من أجلها، وليس تحولا سريعا بعيدا عن ممارسات التطوير الحالية الخاصة بها.

إصدارات الحوكمة والإنتاج

يوضح الرسم التخطيطي التالي اعتماد المؤسسة لاستراتيجيات التحسين المستمر DevOps.

رسم تخطيطي يوضح تطوير عمليات الحوكمة.

بينما تستعد مؤسستك لاعتماد استراتيجيات DevOps، تأكد أولا من تكييف الأمان وعمليات الحوكمة الأخرى مع نهجك. يخفف هذا النهج من مخاطر الأمان ولكنه لا يقلل من قيمة دورات الإصدار السريع.

قبل وضع تطبيق في الإنتاج الكامل، تأكد من أن الحد الأدنى من المنتجات القابلة للتطبيق (MVP) لإصدار الإنتاج عبر مجالات Dev و Sec و Ops يفي بمتطلبات كل تخصص. تختلف MVPs مع أهداف المؤسسة وثقافتها وصناعتها، ولكن يجب أن توازن دائما احتياجات الإصدار السريع والأمان/السلامة وأداء الإنتاج والموثوقية.

يتطلب تحديد أولويات المتطلبات وتلبية جميع الاحتياجات جهدا جماعيا. لن تستفيد مؤسستك من منتج تم إصداره بعد فوات الأوان، أو لا يلبي احتياجات السوق، أو لا يتوسع أو يعمل بشكل جيد، أو يعرض المعلومات الحساسة وثقة العملاء للخطر.

استخدم الإرشادات التالية للتأكد من أن التطبيقات وأحمال العمل لا توفر وسائل سهلة (منخفضة التكلفة، احتكاك منخفض) للمهاجمين لإساءة استخدام وظائفهم:

  • تصميم آمن: اتبع نهج تصميم أمان سليم. يمكن أن يتضمن ذلك استخدام تقنية نمذجة المخاطر.
  • التعليمات البرمجية الآمنة: التحقق من صحة أمان عمليات التنفيذ الفعلية. (بما في ذلك المكونات التابعة). يمكن أن يتضمن ذلك استخدام أدوات مثل التحليل الثابت والديناميكي للعثور على الأخطاء وتصحيحها.
  • بيئة آمنة: تحقق من أن تكوينات البنية الأساسية تتبع أفضل الممارسات للتصحيح والتكوين والمزيد.

DevOps للإنتاج الآمن

بعد إصدار الإنتاج الأول لحمل العمل، يدخل مرحلة DevOps للإنتاج حيث يتم تطبيق التغييرات وإصلاحات الأخطاء بسرعة.

دمج الأمان في الأصل في هذه العملية لضمان دمج دروس الأمان ضمن دورة عمليات المطور. راجع جوانب الأمان للتصميم أثناء مراجعات التصميم، وقم بالإبلاغ عن أخطاء الأمان باستخدام نفس الأدوات ومصطلحات تحديد الأولويات التي تستخدمها للأخطاء الأخرى.

قم بإصلاح أخطاء الأمان بسرعة، واتبع نهجا من أسفل إلى أعلى لتقليل حجمها وتأثيراتها. تنفيذ ممارسات وأدوات الأمان أثناء دورة حياة التطوير لتقليل عدد أخطاء الأمان وشدتها المحتملة.

التحسين المتزايد المستمر

يوضح الرسم التخطيطي السابق كيف يمكن للعمل معا والتعلم كفريق تحسين فهمك لعملية التحسين المتزايد المستمر.

تشكل الدروس التي تتعلمها من خلال جهود الفريق هذه:

  • كيفية تحديد MVP عبر مجالات Dev و Sec و Ops
  • كيف يمكنك إحراز تقدم تزايدي مع احتكاك أقل
  • كيف يمكن لفريقك التعاون بشكل أفضل وموازنة المفاضلات

الأمان كرياضة جماعية

أمان DevOps هو جهد فريق يتضمن دمج الأمان طوال دورة حياة تطوير التطبيق. يوفر أمان DevOps رؤية عالية للمخاطر الأمنية ودورات تطوير أقصر وتنفيذات أمان السحابة التلقائية.

تقديم قيمة المستخدم النهائي بشكل أسرع

يتيح DevOps التسليم السريع والمستمر للقيمة للمستخدمين النهائيين من خلال دمج التطوير والعمليات بإحكام. أثناء نضج هذه العملية، تأكد من استمرارها في زيادة الأمان كعقلية وممارسة. يمكنك القيام بذلك من خلال عمليات دورة حياة تطوير الأمان (SDL) وضمان الأمان التشغيلي (OSA) مثل:

  • توفير التدريب: ركز على زيادة المعرفة الجماعية لفريقك بأفضل ممارسات الأمان وعقلية المهاجمين، بما في ذلك كيفية استغلال المهاجمين لأخطاء التكوين ونقاط الضعف المعمارية.
  • تحديد المتطلبات: إنشاء أساس أمان الحد الأدنى لعناصر التحكم في الأمان والتوافق. اخبز الأساس في عملية DevOps والبنية الأساسية لبرنامج ربط العمليات التجارية. يجب أن يأخذ خط الأساس الخاص بك في الاعتبار التهديدات الحالية في العالم الحقيقي وتحديات الصناعة المعروفة والمتطلبات التنظيمية الممتدة عبر مكدس التكنولوجيا.
  • تحديد المقاييس وإعداد التقارير: محرك السلوكيات المطلوبة عبر فريق الهندسة الخاص بك. حدد مقاييس محددة يمكن أن تدفع الإجراءات وتدعم أهداف التوافق.
  • استخدام تحليل تكوين البرامج (SCA) والحوكمة: تحليل مخزون مكونات الجهات الخارجية وصيانته وإنشاء خطة لتقييم الثغرات الأمنية المبلغ عنها. ضع في اعتبارك الثغرات الأمنية المحتملة لمكونات الجهات الخارجية في أمان النظام الخاص بك.
  • إجراء نمذجة المخاطر: استخدم نهجا منظما لتحديد الثغرات الأمنية بسرعة، واستخدام نمذجة التهديدات لتحديد المخاطر والتخفيف من حدتها. يمكن لفريقك اختيار ميزات الأمان بشكل فعال وإنشاء استراتيجيات التخفيف المناسبة مع تحسين التكلفة.
  • استخدام الأتمتة والأدوات: حدد بعناية الأتمتة الذكية والأدوات لمساعدة المهندسين وضمان تناسق العملية. اختر مجموعات الأدوات التي تم دمجها بالفعل في العمليات الهندسية. ركز على إصلاح المشكلات، وتجنب التحميل الزائد للمهندسين باستخدام عمليات غريبة عن النظام البنائي الهندسي. يتم دمج أدوات سير عمل DevOps الآمنة في مسارات CI/CD. تجنب متطلبات الخبرة الأمنية وتجنب معدلات الإبلاغ عن المشكلات الإيجابية الخاطئة العالية.
  • الحفاظ على أمان بيانات الاعتماد: افحص بحثا عن بيانات الاعتماد والمحتوى الحساس في الملفات المصدر أثناء التثبيت المسبق لتقليل مخاطر نشر المعلومات الحساسة في عملية CI/CD لفريقك. لا تخزن المفاتيح الحساسة في التعليمات البرمجية. ضع في اعتبارك استخدام حل إحضار المفتاح الخاص بك (BYOK) الذي ينشئ مفاتيح باستخدام وحدة أمان الأجهزة (HSM).
  • استخدام التعلم والمراقبة المستمرين: استخدم التحليلات المتقدمة لمراقبة التطبيقات والبنية الأساسية والشبكات والكشف عن مشكلات الأمان والأداء. اقتران ممارسات CI/CD مع أدوات المراقبة للحصول على رؤية أفضل لصحة التطبيق الخاص بك وتحديد المخاطر والتخفيف منها، ما يقلل من التعرض للهجمات. تدعم المراقبة استراتيجية دفاعية متعمقة ويمكن أن تقلل من متوسط وقت مؤسستك لتحديد (MTTI) ووقت متوسط احتواء مقاييس (MTTC).

يشمل النظام البيئي الشامل ل DevOps لدورة حياة التطوير والأمان الأصلي الاستراتيجية والأمان والبنية والتنفيذ/العمليات، جنبا إلى جنب مع مجموعات الأدوات لدعم هذا النظام البنائي (مثل Azure DevOps).

يوضح الرسم التخطيطي التالي مثالا على مهام سير عمل/عمليات DevOps من مرحلة حضانة الأفكار الأولية (اختراع منتجات أو خدمات جديدة) من خلال DevOperations (الابتكار السريع المستمر).

رسم تخطيطي لسير عمل مثال Dev Sec Ops.

يسلط الرسم التخطيطي الضوء على كيفية تنفيذ فرق الأمان للتحسينات المستمرة عبر دورة الحياة لكليهما:

  • تحسين MVP عبر مجالات التطوير المختلفة (متطلبات العمل) و Sec (التوافق/الأمان/السلامة) و Ops (الجودة/الأداء/الدعم)
  • تحسين عملية الأمان والبرنامج نفسه باستمرار (إنتاجية المطور والكفاءة التشغيلية ووضع الأمان وبروتوكولات توحيد الهوية والمزيد)

الخطوات التالية

تأمين البنية الأساسية لبرنامج ربط العمليات التجارية وسير عمل CI/CD