DevOpsチームにとってデジタル証明書が非常に重要である理由

組織はますますDevOpsをアプリ開発プロセスに統合しています。 アマゾンウェブサービス（AWS）によると、DevOpsは、新しいアプリやサービスをデプロイする速度と能力を向上させる可能性があるため、組織に大きな期待を寄せています。 これは、アプリケーションのライフサイクル全体にわたって開発チームと運用チームが協力することで実現します。 （セキュリティチームは、DevSecOpsと呼ばれるプロセスにも関与する場合があります。）開発および運用担当者は、拡張されたテクノロジスタックとツールを使用して、従来は手動で実行していたプロセスを自動化します。

言うまでもなく、組織はDevOpsモデルを採用することで多くのメリットを享受できます。 サイロに任せた場合、開発者、運用担当者、セキュリティの専門家、さらには品質保証の人々でさえ、プロジェクトが時間どおりに完了するのを妨げる可能性のある障害を必ずしも知っているとは限りません。 これは、これらのグループが割り当てに何か異なるものを追加するためです。 Digital.aiが指摘しているように、彼らは必ずしも新しいアプリケーションのビジネスコンテキストや価値についての同じ理解から彼らの仕事にアプローチするわけではありません。 そのため、これらのチームは、プロジェクトを抑制し、戦闘につながる可能性のある反対の目標を持つ可能性さえあります。

デジタル証明書：セキュリティに追いつくためのDevOpsの課題

組織は、DevOpsモデルの下でさまざまなチームを統合することを最大限に活用したいと考えています。 その事実を認めると、進化し続けるテクノロジー環境に適合させるために、考え方としてのDevOpsが絶えず変化していることは驚くべきことではありません。 したがって、DevOpsは情報セキュリティ分野に遅れずについていく必要があります。

AkamaiのシニアプロダクトマネージャーであるSidPhadkarは、この点をTechRepublicに明確に示しました。

米国および世界の両方でデータ侵害の数が増加し、PSD2やGDPRなどのデータプライバシー規制がますます重要視されるようになると、DevOpsに精通した組織は、今後1年以内に市場投入するセキュリティ対策の取り組みを優先することを余儀なくされます。 新しい規制が導入されると、より多くのアプリケーション開発者がコード内で直接厳格なセキュリティポリシーを構築することが義務付けられます。 infosecチーム内でより多くのコンプライアンス関連タスクを自動化することに対応するDevOpsツールが増加し、セキュリティとコンプライアンスの対策が毎日のCIワークフローに組み込まれるようになります。

問題は、DevOpsをセキュリティに合わせるのは必ずしも簡単ではないということです。 実際、Keyfactorは、上記の競合のために、多くの組織がDevOpsの周りに一貫したセキュリティポリシーを適用するのに苦労していると指摘しました。 優れたセキュリティ慣行は、通常、新しいアプリケーションまたはサービスのタイムリーな提供と接触します。 したがって、DevOpsをサポートするための適切なツールがなければ、セキュリティ担当者は、サポートが必要な方法で開発者をサポートできません。 したがって、開発者は新しいセキュリティ慣行に抵抗し、それらを遅くする新しいプロセスの非準拠の代替案を見つける傾向があります。

これらの課題は、証明書のライフサイクル管理にとって特に重要です。 組織は、コード署名または証明書の作成を介して、PKIを使用してDevOpsライフサイクルを保護する必要があります。 しかし、AppViewXが指摘しているように、このPKIの実装は、証明書のライフサイクルに対する可視性が低く、認証局との通信に一貫性がないという問題を抱えていることがよくあります。

従来のDevOpsパイプラインも、通常、信頼できる証明書を取得するために手動のリクエストに依存しています。 これらのタイプの要求は、ソフトウェア開発ライフサイクルの敏捷性を損ないます。 ほとんどのコンテナはそれほど長く稼働していないため、これらの要求が完了するまでに数日かかる場合、組織がアプリケーションの配信を遅くしない限り、結果のデジタル証明書は事実上役に立たなくなります。 このようなダイナミズムにより、DevOpsがこれらの証明書を独自に管理および監視することも困難になります。 したがって、チームメンバーは、ショートカットを探したり、アドホックプロセスに頼ったり、複数の暗号化標準を使用する証明書を購入したりできます。これは、組織のセキュリティリスクを高めるバリエーションです。

これらの懸念は、業界アナリストだけに共鳴するものではありません。 それらはDevOpsの専門家によっても共有されています。 2019年の調査では、DevOpsプロフェッショナルの74％が、証明書の発行によって開発が遅くなる可能性があることを懸念しているとVenafiに語っています。 開発者の3分の1強（39％）が、サービスレベルアグリーメントを満たすためにこれらのポリシーを回避できるはずだと述べましたが、回答者の半数未満（48％）が、組織内の開発者は常にチャネルを通じて証明書を要求するという信念を表明しました。およびセキュリティチームによって承認された方法。

DevOpsチームが証明書を最適に処理する方法

上記の課題に対応するため、DevOpsチームは、証明書管理プロセスを自動化することで、証明書を最適に処理できます。 DevOps.comが指摘しているように、Kubernetesなどのオーケストレーションツールは、ACMEプロトコルを介した証明書管理をサポートしています。 Kubernetesは秘密鍵をKubernetesSecretまたはHashicorpVaultに保存するため、証明書管理システムをシームレスに統合できます。 DevOpsチームは、プライベートCAを使用してコンテナーにデジタル署名し、TLS接続を介して通信する特定のコンテナーを検証することもできます。

自動化とは別に、DevOpsは、不必要な停止を回避するために、証明書の可視性を高める必要があります。 チームメンバーは、有効期限が切れる前に証明書を更新し、不適切な構成に対処して、重要なサービスが稼働し続けるようにする必要があります。 TechBeaconは、DevOpsは「レシピ」と呼ばれるAPI主導の自動化コレクションを使用して、俊敏性とセキュリティの両方のバランスをとるために、キーと証明書を含むプロセスを調整する必要があると述べています。

これについて何か考えがありますか？ コメントで下に知らせてください、または私たちのツイッターまたはフェイスブックに議論を持ち越してください。

編集者の推奨事項：

• DevOpsで継続的テストを実装する方法は？
• AWS DevOpsエンジニアは殺害を行っています–この30ドルのコースバンドルであなたのキャリアを飛躍させましょう
• DevOpsが顧客データを保護する方法
• DevOpsがソフトウェア開発をどのように変革しているか

編集者注： David Bissonは、情報セキュリティのライターであり、セキュリティ中毒者です。 彼はIBMのSecurityIntelligenceとTripwireのTheState of Security Blogの寄稿編集者であり、Boraの寄稿者でもあります。 彼はまた、デジタルセキュリティ分野でZixや他の多くの企業向けに書かれたコンテンツを定期的に作成しています。