غير مصنف

قائمة مراجعة لدمج الأمان بنجاح في عملية DevOps


سوق DevOps آخذ في الارتفاع. لكل جلوب نيوزواير، تقرير صادر عن Global Market Insights، Inc. أنه من المتوقع أن يصل تقييم سوق DevOps إلى 17 مليار دولار بحلول عام 2026. وسيشكل هذا النمو زيادة بنسبة 22٪ عن تقييمها لعام 2020.

على الرغم من هذه المكاسب المتوقعة ، لا تزال المنظمات تواجه بعض التحديات التي يجب معالجتها من خلال عمليات تنفيذ DevOps الخاصة بها. وتشمل هذه العقبات مسألة الجمع بين DevOps والأمن. في الواقع ، كشفت الأبحاث التي أجرتها Veracode و Enterprise Strategy Group أن ما يقرب من نصف المؤسسات قد شحنت “بانتظام وعن علم” تعليمات برمجية ضعيفة على الرغم من استخدامها لأدوات أمان التطبيق ، كما ورد في تقرير مجلة الأمن. استشهد هؤلاء المستجيبون عادةً بالضغط للوفاء بالمواعيد النهائية للإصدار واكتشاف الثغرات في وقت متأخر جدًا في دورة حياة تطوير البرمجيات كتفسيرات لسبب حدوث ذلك.

للمساعدة في تسليط الضوء على ما يجري هنا ، ستبدأ هذه المشاركة بشرح موجز لمدى فائدة DevOps للمؤسسات. ستستكشف بعد ذلك الحاجة إلى الأمان في DevOps ولماذا كان من الصعب الجمع بين الأمان و DevOps معًا. سيختتم المنشور بتقديم قائمة مراجعة بالإجراءات التي يمكن للمؤسسات استخدامها لدمج الأمان في DevOps.

لماذا تتدفق المنظمات إلى DevOps

من خلال جعل مهندسي العمليات والتطوير يعملون معًا طوال دورة حياة تطوير البرامج بأكملها ، فإن DevOps تقف لصالح المؤسسات بعدة طرق. أخبر أرونا رافيشاندران نائب رئيس DevOps لتسويق المنتجات والحلول في CA Technologies DEVOPS هضم أن إحدى أهم هذه المزايا هي القدرة على تقديم برامج أفضل للعملاء:

“الهدف الأساسي هو أن تصبح أكثر مرونة وكفاءة بشكل عام …” ، أشار رافيشاندران. “[T]يشمل كل شيء بدءًا من زيادة الإنتاجية خارج القوة العاملة في مجال تكنولوجيا المعلومات إلى الفوائد اللاحقة في نفقات التشغيل ، ولكن في نهاية المطاف ، يعود كل شيء إلى تعميق التفاعل مع العملاء من خلال إنشاء تطبيقات مفيدة بشكل متزايد بطريقة أكثر استجابة. إذا كان التحول الرقمي هو المرحلة النهائية في تلبية متطلبات العملاء وتنمية الأعمال ، فإن DevOps هي الوسيلة التي تتيح لك الوصول إلى هناك. “

من خلال توحيد العمليات والمطورين ، يمكن أن تساعد DevOps أيضًا في هدم الصوامع التي تميل إلى الوجود في المنظمات الهرمية. بدون هذه الحواجز ، سيتعلم أعضاء الفريق التحدث بلغة مشتركة بغرض تقديم البرامج بسرعة أكبر. مع السرعة المحسّنة تأتي القدرة على تكييف منتجاتهم وتصميمها بسرعة بطريقة تتوافق مع احتياجات العمل المتطورة للمؤسسة.

لماذا يجب أن يكون الأمان جزءًا من DevOps

تعتقد بعض المنظمات أن الأمان يتعارض مع DevOps. والاعتقاد السائد أنهم يوفرون الوقت والمال من خلال عدم دمج الأمان في عملية تطوير البرامج. إنهم يشعرون أن إنتاج DevOps يمكن أن يتباطأ في نهاية المطاف مع إضافة الأمان ، مما يعرض أهداف أعمالهم للخطر.

لكنهم مخطئون. الأمان و DevOps لا يستبعد أحدهما الآخر. في الواقع ، يعد الأمان جزءًا من الحل الذي يمكن أن يجعل DevOps أكثر نجاحًا مما هو عليه الآن.

DevOps.com يشير إلى الوقت والمال الذي يمكن للمؤسسات توفيره من خلال دمج الأمان في عملية DevOps الخاصة بهم. ستمكّن مثل هذه الخطوة أفراد الأمن من اكتشاف الثغرات وإصلاحها في وقت مبكر من مراحل التصميم أو التطوير بدلاً من إصلاح هذه العيوب قبل النشر أو بعده مباشرة. يمكن أن تساعد فرق الأمان أيضًا في تقوية فرق DevOps نفسها من خلال المساعدة في اكتشاف أخطاء التهيئة الخاطئة التي تتضمن عمليات النشر السحابية جنبًا إلى جنب مع عناصر التحكم في الوصول التي تتم إدارتها بشكل سيئ للتفاعل مع الأسرار مثل مفاتيح SSH ورموز واجهة برمجة التطبيقات.

تحديات DevSecOps

ساعدت الفوائد التي تمت مناقشتها أعلاه ، من بين أمور أخرى ، على ظهور نموذج DevSecOps. برنامج وايت سورس أوضح أن DevSecOps يتضمن دمج الأمان في خط أنابيب DevOps. كما يشجع الأمن على اتباع نهج “DevOps” لعمله عن طريق الاختبار مبكرًا وغالبًا بالإضافة إلى إرسال التقارير في دورة ملاحظات أقصر. تم تصميم كلا الإجراءين للمساعدة في تسهيل اكتشاف ثغرة في التعليمات البرمجية وإصلاحها ، كما أشار White Source Software.

ومع ذلك ، توجد تحديات في الجمع بين الأمان و DevOps. قراءة مظلمة لاحظ أن العديد من المنظمات تخشى أن زيادة سرعة عمل فرق الأمن لديها يمكن أن يقوض مواقف الأمن الرقمي ، على سبيل المثال. هناك أيضًا اعتقاد بأن المطورين غير مهتمين بإنشاء كود آمن لمنتجاتهم كبداية.

على الرغم من أن هذه الأساطير لا أساس لها من الصحة ، فقد ساعدت مع ذلك في تشكيل الطرق التي تفاعل بها DevOps وفرق الأمن حتى الآن. تميل DevOps وأفراد الأمن إلى الحفاظ على أنظمة منعزلة ، كما ورد بواسطة فوربس، مما يعني أنه ليس لديهم أدوات موحدة أو تلقائية يمكن أن تساعدهم في توسيع نطاق المهام والتحديثات. بدلاً من ذلك ، ينتهي الأمر بالمطورين إلى استخدام أدوات اختبار أمان التطبيقات (AST) التي لا تندمج في بيئاتهم ، مما يجعل عملهم أكثر صعوبة واستهلاكًا للوقت. وفي الوقت نفسه ، يقوم أفراد الأمن بعملهم فقط في مرحلتي الاختبار والنشر لدورة حياة تطوير البرامج ، مما يزيد من تأخير المشروع. تتآمر هذه القوى معًا لإنشاء مشاريع ضعيفة وغير آمنة.

كيفية دمج الأمان في عملية DevOps

لا تفشل DevSecOps عندما يجتمع الأمان و DevOps معًا. يفشل ذلك عندما لا تتخذ المؤسسات الخطوات اللازمة لدمج الأمان في عمليات DevOps الخاصة بهم. تشمل هذه الممارسات ما يلي:

شراء تنفيذي آمن: لن تجد فرق الأمان مكانها في DevOps إذا لم يتلقوا الوقت والمال والموارد التي يحتاجونها لتنمية الوعي الأمني. الحقيقة هي أن فرق الأمن لن تتلقى هذه الموارد إذا لم تحصل على الدعم اللازم من المديرين التنفيذيين. كما لوحظ من قبل منارة التكنولوجيا، من المهم للمديرين التنفيذيين أن يفهموا أنهم لا يخاطرون بأقل من خرق البيانات من خلال عدم الاستثمار في الأمان فيما يتعلق بعمليات DevOps الخاصة بمؤسستهم.

التوفيق بين أولويات الأمان والعمل: تتمثل إحدى الطرق التي يمكن للمديرين التنفيذيين من خلالها المشاركة في جلب الأمان إلى عالم DevOps من خلال مواءمة أولويات الأمن والأعمال. بمجرد تأطير الأمن في سياق الأعمال ، يمكن للمديرين التنفيذيين وضع الأساس للمؤسسات للبدء في التأكيد على التعاون والتكامل ، كما هو موضح في RSA.

إنشاء جرد للموارد: لا تستطيع فرق الأمن الدفاع عما لا يعرفون عنه. لحل هذه المشكلة، مايكروسوفت توصي شركة DevOps وأفراد الأمن بالعمل معًا لجرد أصولهم ، بما في ذلك الاشتراكات السحابية قيد الاستخدام.

فهم التطبيقات الفريدة: يجب دمج الأمان في عمليات DevOps للمؤسسات من أجل الاستفادة الكاملة من الموارد المستندة إلى السحابة بما في ذلك Kubernetes وعمليات نشر الحاويات. ستاكروكس يشير إلى أنه يمكن للمؤسسات العمل على تأمين هذه الموارد بمساعدة DevOps من خلال اتباع التوصيات الرئيسية مثل عدم إضافة مكونات غير ضرورية واستخدام الحد الأدنى من الصور الأساسية.

أتمتة DevSecOps: بمجرد أن يتم دمج الأمان بالكامل في عمليات DevOps للمؤسسة ، ليست هناك حاجة للمتابعة يدويًا. ما وراء الثقة يؤكد أن المؤسسات يمكنها استخدام أدوات الأمان المؤتمتة لتحليل الكود وإدارة التكوين والعمليات الهامة الأخرى. سيؤدي القيام بذلك إلى تقليل مخاطر الخطأ البشري وتمكين المؤسسة من توسيع نطاق عمليات DevOps الخاصة بها عندما ترى ذلك مناسبًا.

نبذة عن الكاتب: ديفيد بيسون هو كاتب أمن المعلومات ومدمن الأمن. وهو محرر مساهم في شركة IBM Security Intelligence ، و Tripwire’s The State of Security Blog ، وكاتب مساهم في بورا. كما أنه ينتج بانتظام محتوى مكتوبًا لشركة Zix وعدد من الشركات الأخرى في مجال الأمن الرقمي.