AWS DevOps, devops, دوآپس, کلاسترینگ, مقالات

DevSecOps چیست؟

ارسال توسط author-avatar
0

DevSecOps چیست؟

بررسی اجمالی

DevSecOps مخفف توسعه، امنیت و عملیات است. این رویکردی به فرهنگ، اتوماسیون و طراحی پلت فرم است که امنیت را به عنوان یک مسئولیت مشترک در کل چرخه عمر فناوری اطلاعات یکپارچه می کند.

 

 

 

DevSecOps در مقابل DevOps

 

 

 

DevOps فقط مربوط به تیم های توسعه و عملیات نیست. اگر می خواهید از agility  و پاسخگویی رویکرد DevOps نهایت استفاده را ببرید، امنیت فناوری اطلاعات نیز باید نقش یکپارچه را در چرخه عمر کامل برنامه های شما ایفا کند. چرا؟ در گذشته، نقش امنیت به یک تیم خاص در مرحله نهایی توسعه یه صورت مجزا انجام میشد. زمانی که چرخه‌های توسعه ماه‌ها یا حتی سال‌ها طول می‌کشید، این مسئله چندان مشکل‌ساز نبود، اما آن روزها به پایان رسیده‌اند. DevOps موثر چرخه های توسعه سریع و مکرر را تضمین می کند (گاهی اوقات هفته ها یا روزها)، اما شیوه های امنیتی قدیمی می توانند حتی کارآمدترین طرح های DevOps را خنثی کنند.

 

 

اکنون، در چارچوب مشترک DevOps، امنیت یک مسئولیت مشترک است که از انتها به انتها یکپارچه شده است. این یک طرز فکر بسیار مهم است که باعث شد برخی اصطلاح DevSecOps را برای تأکید بر نیاز به ایجاد یک پایه امنیتی در ابتکارات DevOps ایجاد کنند.

DevSecOps یعنی از همان ابتدا به امنیت برنامه و زیرساخت فکر کنید. همچنین به معنای خودکار کردن برخی از گیت های امنیتی برای جلوگیری از کند شدن گردش کار DevOps است. انتخاب ابزار مناسب برای ادغام مداوم امنیت، مانند توافق بر روی یک محیط توسعه یکپارچه (IDE) با ویژگی های امنیتی، می تواند به تحقق این اهداف کمک کند. با این حال، امنیت موثر DevOps به چیزی بیش از ابزارهای جدید نیاز دارد – این امنیت بر اساس تغییرات فرهنگی DevOps است تا کار تیم‌های امنیتی را زودتر ادغام کند.

چه آن را «DevOps» یا «DevSecOps» بنامید، همیشه ایده‌آل بوده است که امنیت را به عنوان بخشی جدایی ناپذیر از کل چرخه زندگی برنامه در نظر بگیرید. DevSecOps در مورد امنیت داخلی است، نه امنیتی که به عنوان محیط اطراف برنامه ها و داده ها عمل می کند. اگر امنیت در انتهای خط لوله توسعه باقی بماند، سازمان‌هایی که DevOps را اتخاذ می‌کنند می‌توانند خود را به چرخه‌های توسعه طولانی که در وهله اول سعی داشتند از آن اجتناب کنند، بازگردند.

تا حدی، DevSecOps نیاز به دعوت از تیم‌ها و شرکای امنیتی را در ابتدای طرح‌های DevOps برای ایجاد امنیت اطلاعات و تنظیم برنامه‌ای برای اتوماسیون امنیتی برجسته می‌کند. این امر بر نیاز به کمک به توسعه‌دهندگان برای کدنویسی با در نظر گرفتن امنیت تاکید می‌کند، فرآیندی که شامل تیم‌های امنیتی به اشتراک‌گذاری قابلیت مشاهده، بازخورد و بینش در مورد تهدیدات شناخته شده – مانند تهدیدات داخلی یا بدافزارهای بالقوه است. DevSecOps همچنین بر شناسایی خطرات زنجیره تامین نرم افزار تمرکز دارد و بر امنیت اجزای نرم افزار منبع باز و وابستگی ها در اوایل چرخه عمر توسعه نرم افزار تاکید دارد. برای موفقیت، یک رویکرد DevSecOps موثر می‌تواند شامل آموزش‌های امنیتی جدید برای توسعه‌دهندگان نیز باشد، زیرا همیشه در توسعه برنامه‌های کاربردی سنتی متمرکز نبوده است. امنیت داخلی واقعاً چگونه است؟ برای شروع، یک استراتژی DevSecOps خوب، تعیین میزان تحمل ریسک و انجام تجزیه و تحلیل ریسک/منفعت است. چه مقدار از کنترل های امنیتی در یک برنامه معین لازم است؟ سرعت بازاریابی برای اپلیکیشن های مختلف چقدر اهمیت دارد؟ خودکارسازی وظایف تکراری کلید DevSecOps است، زیرا اجرای بررسی‌های امنیتی دستی در خط لوله می‌تواند زمان بر باشد.

DevOps security is automated

برای انجام: چرخه‌های توسعه کوتاه و مکرر را حفظ کنید، اقدامات امنیتی را با کمترین اختلال در عملیات ادغام کنید، با فناوری‌های نوآورانه مانند کانتینرها و ریزسرویس‌ها همگام باشید، و در عین حال همکاری نزدیک‌تر بین تیم‌های معمولاً منزوی را تقویت کنید – این امری مهم برای هر سازمانی است. همه این ابتکارات در سطح انسانی آغاز می شود – با نکات و نکات همکاری در سازمان شما – اما تسهیل کننده این تغییرات انسانی در چارچوب DevSecOps اتوماسیون است.

اما چه چیزی را خودکار کنیم و چگونه؟ راهنمایی مکتوب برای کمک به پاسخ به این سوال وجود دارد. سازمان ها باید به عقب برگردند و کل محیط توسعه و عملیات را در نظر بگیرند. این شامل مخازن کنترل منبع، رجیستری کانتینر، خط لوله یکپارچه سازی و استقرار پیوسته (CI/CD)، مدیریت رابط برنامه نویسی برنامه (API)، هماهنگ سازی و اتوماسیون انتشار، و مدیریت و نظارت عملیاتی است. فن‌آوری‌های جدید اتوماسیون به سازمان‌ها کمک کرده تا شیوه‌های توسعه چابک‌تری را اتخاذ کنند، و همچنین در پیشبرد اقدامات امنیتی جدید نقش داشته‌اند. اما اتوماسیون تنها چیزی نیست که در مورد چشم‌انداز فناوری اطلاعات در سال‌های اخیر تغییر کرده است – فناوری‌های بومی ابری مانند کانتینرها و میکروسرویس‌ها اکنون بخش عمده‌ای از ابتکارات DevOps هستند و امنیت DevOps باید با آنها سازگار شود.

DevOps security is built for containers and microservices

مقیاس بزرگتر و زیرساخت پویاتر که توسط کانتینرها فعال شده است، روش بسیاری از سازمانها را تغییر داده است. به همین دلیل، شیوه‌های امنیتی DevOps باید با چشم‌انداز جدید سازگار شوند و با دستورالعمل‌های امنیتی خاص کانتینر هماهنگ شوند. فناوری‌های بومی ابری خود را به سیاست‌ها و چک‌لیست‌های امنیتی ثابت نمی‌دهند. در عوض، امنیت باید در هر مرحله از چرخه عمر برنامه و زیرساخت مستمر و یکپارچه باشد. DevSecOps به معنای ایجاد امنیت در توسعه برنامه از انتهای تا انتها است. این ادغام در خط لوله به همان اندازه که به ابزارهای جدید نیاز دارد، به یک ذهنیت سازمانی جدید نیز نیاز دارد. با در نظر گرفتن این موضوع، تیم‌های DevOps باید امنیت را برای محافظت از محیط کلی و داده‌ها، و همچنین فرآیند یکپارچه‌سازی/تحویل مستمر، خودکار کنند – هدفی که احتمالاً شامل امنیت میکروسرویس‌ها در کانتینرها می‌شود.

Environment and data security

Standardize and automate the environment: 

هر سرویس باید کمترین امتیاز ممکن را برای به حداقل رساندن اتصالات و دسترسی های غیرمجاز داشته باشد.

Centralize user identity and access control capabilities: 

کنترل دسترسی دقیق و مکانیسم های احراز هویت متمرکز برای ایمن سازی ریزسرویس ها ضروری است، زیرا احراز هویت در چندین نقطه آغاز می شود.

Isolate containers running microservices from each other and the network:

این شامل داده‌های در حال حمل و نقل و در حالت استراحت است، زیرا هر دو می‌توانند اهداف با ارزشی را برای مهاجمان نشان دهند.

Encrypt data between apps and services:

یک پلت فرم ارکستراسیون کانتینر با ویژگی های امنیتی یکپارچه به به حداقل رساندن احتمال دسترسی غیرمجاز کمک می کند.

Introduce secure API gateways:

APIهای امن مجوز و دید مسیریابی را افزایش می دهند. با کاهش API های در معرض دید، سازمان ها می توانند سطوح حملات را کاهش دهند.

CI/CD process security

Integrate security scanners for containers:

این باید بخشی از فرآیند افزودن کانتینرها به رجیستری باشد

. Automate security testing in the CI process: 

این شامل اجرای ابزارهای تجزیه و تحلیل استاتیک امنیتی به عنوان بخشی از ساخت‌ها، و همچنین اسکن تصاویر کانتینر از پیش ساخته شده برای آسیب‌پذیری‌های امنیتی شناخته‌شده در حین کشیدن آنها به خط لوله ساخت است.

Add automated tests for security capabilities into the acceptance test process:

تست‌های اعتبارسنجی ورودی و همچنین ویژگی‌های تأیید اعتبار و مجوز را به‌طور خودکار انجام دهید.

Automate security updates, such as patches for known vulnerabilities: 

این کار را از طریق خط لوله DevOps انجام دهید. این باید نیاز ادمین ها را برای ورود به سیستم های تولید حذف کند، در حالی که یک گزارش تغییرات مستند و قابل ردیابی ایجاد می کند.

Automate system and service configuration management capabilities:

این اجازه می دهد تا با سیاست های امنیتی مطابقت داشته باشید و خطاهای دستی را حذف کنید. حسابرسی و اصلاح نیز باید خودکار باشد.

منبع : https://www.redhat.com/en/topics/devops/what-is-devsecops#:~:text=DevSecOps%20stands%20for%20development%2C%20security,throughout%20the%20entire%20IT%20lifecycle



 


 


					

	










			
				

																	

													

																			

											


						
					

									

													
								
جدیدتر

								ساختن لایه به لایه فرهنگ DevOps
								
							
											


																							بازگشت به لیست
					
					

													
								قدیمی تر
								مقایسه فریم ورک های Spring و DropWizard در جاوا
								
							
											

			

		
						
			

				
									
نوشته های مشابه
							
				

					

						

									

							


					

				

							


					

				

							


					

				

							


					

				

							


					

				

							


					

				

							


					

				

							


					

				

							


					

				

							


					

				

							


					

				

							


					

								

					


							

			

				

			

			

				

			

		

						


									

			
    
		
    
									
    
						
			

    
	
		
    
		
    دیدگاهتان را بنویسید