Главная / О компании / Новости / Защита учетных данных DevOps: важные первые шаги

Защита учетных данных DevOps: важные первые шаги

« Назад

Защита учетных данных DevOps: важные первые шаги  04.03.2021 13:55

Философия DevOps изменила в компаниях разработку, эксплуатацию и поддержку приложений, соединив два традиционно разделенных мира - разработку и эксплуатацию. С помощью быстрых итераций и масштабной автоматизации процессов команды DevOps приносят в мир ценные приложения. Но этот подход не идеален. Эта методология доставки приложений вызывает новые вопросы безопасности. Практики DevOps часто расширяют площадь атаки и повышают риск уязвимости данных. Но почему обеспечение безопасности сред DevOps вызывает новые вопросы? Чем отличается обеспечение безопасности в DevOps и в традиционной среде?

Изобилие возможностей привилегированного доступа

Для ускорения процесса доставки кода в средах DevOps часто не выполняются критические меры безопасности. Например, в среде DevOps уровень привилегий, предоставляемых людям и машинам, намного выше по сравнению с традиционными средами разработки и эксплуатации. Для разработчиков является обычной и даже стандартной практикой обмениваться личными ключами и учетными данными с коллегами для быстрого доступа. Эта вредоносная практика значительно повышает риск инсайдерских угроз, как злонамеренных, так и случайных, и в то же время усложняет, если не делает невозможным, возможность создания «чистых» аудиторских следов.

В приложениях разработчики могут встраивать пароли, поэтому их можно легко найти как локально, так и в репозиториях, таких как Github, Bitbucket и других. Другими распространенными практиками хранения учетных данных являются конфигурационные файлы и таблицы excel, которые крайне небезопасны. Эти учетные данные, скорее всего, обеспечивают доступ к данным или другим важным корпоративным ресурсам, которые должны быть защищены. Подобные рискованные методы значительно увеличили количество секретов в компании, создавая опасные бэкдоры и увеличивая поверхность атак.

Безопасность в жертву скорости

С невероятной скоростью команды DevOps поставляют приложения в соответствии с сжатыми сроками. Такие команды процветают в среде специализированных инструментов с упором на интенсивный обмен кодом и автоматизацию на каждом этапе. Эти практики привели к значительному сокращению времени доставки приложений, но, к сожалению, способствовали широкому снижению мер по обеспечению безопасности.  Интеграция традиционной системы безопасности в конвейер DevOps была непростой задачей, поскольку традиционные инструменты заставляют разработчиков менять способ работы и замедлять конвейер, что приводит к низкому уровню использования этих инструментов.

Культура внедрения

Вряд ли что-то не так в этом итеративном и открытом подходе к быстрому получению кода на основе тесного сотрудничества. Эту культуру безусловно стоит развивать на предприятии, учитывая ее высокую производительность при выпуске ценных приложений и нового функционала. Но по мере того, как практика «сдвига влево», лежащая в основе философии DevOps, переносит безопасность на более раннее время, на первый план выходят очевидные недостатки традиционных инструментов безопасности. Разработчикам нужны решения, которые адаптируются к их рабочим процессам и среде с высокой степенью взаимодействия. Легковесные приложения, которые используют код для обеспечения надежной безопасности с помощью предпочтительных для разработчиков пользовательских интерфейсов, такие как CLI и API, будут применяться более успешно по сравнению с приложениями с традиционными графическими интерфейсами, ориентированными на безопасность.

Итак, как компании могут преодолеть эти проблемы и внедрить решения безопасности, обеспечивающие скорость и гибкость, необходимые в DevOps?

Вот краткий список шагов, которые помогут организациям вступить на путь управления секретами:

1. Установите корпоративные требования к обеспечению безопасности учетных данных и секретов в DevOps

По мере того, как организации ускоряют внедрение DevOps, требования корпоративной безопасности должны расширяться, чтобы охватить все среды, включая DevOps. Эти требования должны быть направлены на централизацию управления учетными данными и секретами, контроль над совместным использованием учетных данных пользователями, устранение встроенных учетных данных и паролей из скриптов, а также прекращение хранения секретов или паролей в конфигурационных файлах, таблицах excel или других репозиториях, не предназначенных для обеспечения безопасности, где к ним могут получить доступ неавторизованные пользователи или машины.

2. Организуйте централизованное управление секретами DevOps

Внедрите централизованную систему управления секретами, которая будет посредником между пользователем (человеком или машиной) и приложением, процессом или инструментом, к которому нужен доступ. Используйте централизованную систему для хранения всех секретов, используемых разработчиками, инженерами, инструментами и приложениями, в хранилище паролей и организации доступа, управления множеством учетных данных и реализации других основных принципов управления привилегированным доступом.

3. Устранение барьеров на пути внедрения и поддержка максимальной гибкости DevOps

Команды DevOps используют автоматизацию для ускорения доставки приложений и минимизации задержек конвейера. Их agile-рабочие процессы могут быть затруднены инструментами безопасности, работающими вразрез с практиками DevOps. Чтобы быть эффективными, для развертывания решений обеспечения безопасности компании должны применять подходы, использующие автоматизацию и методы работы разработчиков. Готовые интеграции с распространенными инструментами DevOps (Puppet, Jenkins, Ansible, Chef, Docker, Git и т.д.), которыми можно управлять через предпочитаемые разработчиками интерфейсы, повышают внедряемость инструментов и обеспечивают большую гибкость в процессе DevOps.

Неуправляемые учетные данные и секреты, разбросанные по средам DevOps, представляют собой значительный риск, так как они являются заманчивыми целями для злоумышленников. Руководители DevOps и служб безопасности признают, что DevOps нуждается в новом подходе к безопасности, который снижает риски, обеспечивая при этом гибкость, необходимую их командам. Внедрение решения централизованного администрирования, разработанного специально для удовлетворения требований сложных корпоративных сред, которое также легко внедряется командами DevOps, является ключом к правильному (и безопасному) пути.

Узнайте, как DevOps Secrets Safe может помочь защитить секреты и привилегированные учетные данные и снизить неконтролируемое распространение секретов в компании.

Источник ►