Mengapa sertifikat digital sangat penting bagi tim DevOps Anda

Organisasi semakin mengintegrasikan DevOps ke dalam proses pengembangan aplikasi mereka. Menurut Amazon Web Services (AWS), DevOps sangat menjanjikan bagi organisasi karena berpotensi meningkatkan kecepatan dan kemampuan untuk menerapkan aplikasi dan layanan baru. Ini dilakukan dengan membuat tim pengembangan dan operasi bekerja sama di seluruh siklus hidup aplikasi. (Tim keamanan mungkin juga terlibat dalam proses yang dikenal sebagai DevSecOps.) Bersama-sama, personel pengembangan dan operasi menggunakan tumpukan dan alat teknologi yang diperluas untuk mengotomatiskan proses yang biasanya dipenuhi secara manual.

Tak perlu dikatakan, organisasi dapat menuai banyak manfaat dengan mengadopsi model DevOps. Ketika dibiarkan begitu saja, pengembang, personel operasi, profesional keamanan, dan bahkan orang-orang dari Quality Assurance tidak selalu mengetahui hambatan yang dapat menghalangi penyelesaian proyek tepat waktu. Itu karena grup ini menambahkan sesuatu yang berbeda ke tugas. Sebagaimana dicatat oleh Digital.ai, mereka tidak selalu mendekati pekerjaan mereka dari pemahaman yang sama tentang konteks atau nilai bisnis aplikasi baru. Dengan demikian, tim-tim ini bahkan dapat memiliki tujuan yang berlawanan yang dapat menghambat proyek dan menyebabkan pertikaian.

Sertifikat Digital: Tantangan bagi DevOps untuk Mengikuti Keamanan

Organisasi ingin mendapatkan hasil maksimal dari mengintegrasikan tim mereka yang berbeda bersama-sama di bawah model DevOps. Mengakui fakta itu, tidak mengherankan bahwa DevOps sebagai pola pikir terus berubah dalam upaya agar sesuai dengan lanskap teknologi yang terus berkembang. Oleh karena itu, DevOps harus mengikuti bidang keamanan informasi.

Sid Phadkar, manajer produk senior di Akamai, menjelaskan hal ini kepada TechRepublic :

Dengan meningkatnya jumlah pelanggaran data dan peningkatan penekanan pada peraturan privasi data seperti PSD2 dan GDPR baik di AS maupun secara global, organisasi yang memahami DevOps akan dipaksa untuk memprioritaskan ketekunan dalam langkah-langkah keamanan dari waktu ke waktu ke pasar di tahun mendatang. Saat peraturan baru diberlakukan, lebih banyak pengembang aplikasi akan diberi mandat untuk membangun kebijakan keamanan yang ketat langsung di dalam kode. Akan ada peningkatan dalam alat DevOps yang melayani untuk mengotomatisasi lebih banyak tugas terkait kepatuhan dalam tim infosec, sehingga menggabungkan langkah-langkah keamanan dan kepatuhan ke dalam alur kerja CI setiap hari.

Masalahnya adalah tidak selalu mudah untuk menyelaraskan DevOps dengan keamanan. Memang, Keyfactor mencatat bahwa banyak organisasi berjuang untuk menegakkan kebijakan keamanan yang konsisten di sekitar DevOps karena konflik yang dibahas di atas. Praktik keamanan yang baik biasanya berhubungan dengan pengiriman aplikasi atau layanan baru secara tepat waktu. Tanpa alat yang tepat untuk mendukung DevOps, personel keamanan tidak dapat mendukung pengembang dengan cara yang mereka butuhkan untuk didukung. Oleh karena itu, para pengembang akan lebih cenderung menolak praktik keamanan baru dan menemukan alternatif yang tidak sesuai untuk proses baru yang memperlambatnya.

Tantangan ini menjadi perhatian khusus untuk manajemen siklus hidup sertifikat. Organisasi perlu mengamankan siklus hidup DevOps dengan PKI melalui penandatanganan kode atau membuat sertifikat. Namun seperti yang dicatat oleh AppViewX, implementasi PKI ini sering kali memiliki visibilitas yang buruk ke dalam siklus hidup sertifikat dan komunikasi yang tidak konsisten dengan Otoritas Sertifikat.

Pipeline DevOps konvensional juga biasanya mengandalkan permintaan manual untuk mendapatkan sertifikat tepercaya. Jenis permintaan ini merusak kelincahan siklus hidup pengembangan perangkat lunak. Sebagian besar kontainer tidak bertahan lama, jadi jika permintaan tersebut membutuhkan waktu berhari-hari untuk diselesaikan, sertifikat digital yang dihasilkan akan secara efektif tidak berguna kecuali jika organisasi memperlambat pengiriman aplikasinya. Dinamisme seperti itu juga mempersulit DevOps untuk mengelola dan memantau sertifikat tersebut sendiri. Oleh karena itu, anggota tim dapat mencari jalan pintas, menggunakan proses ad hoc, atau membeli sertifikat yang menggunakan beberapa standar kriptografi—variasi yang meningkatkan risiko keamanan organisasi.

Kekhawatiran ini tidak hanya beresonansi dengan analis industri. Mereka juga dibagikan oleh para profesional DevOps. Dalam survei 2019, 74% profesional DevOps memberi tahu Venafi bahwa mereka khawatir menerbitkan sertifikat dapat memperlambat pengembangan. Lebih dari sepertiga (39%) pengembang mengatakan bahwa mereka harus dapat menghindari kebijakan tersebut untuk memenuhi perjanjian tingkat layanan mereka, sementara kurang dari setengah (48%) responden menyatakan keyakinan mereka bahwa pengembang di organisasi mereka selalu meminta sertifikat melalui saluran dan metode yang disetujui oleh tim keamanan.

Bagaimana Tim DevOps Dapat Menangani Sertifikat Mereka dengan Baik

Menanggapi tantangan yang dibahas di atas, tim DevOps dapat menangani sertifikat mereka dengan mengotomatiskan proses manajemen sertifikat mereka. Seperti dicatat oleh DevOps.com, alat orkestrasi seperti Kubernetes mendukung manajemen sertifikat melalui protokol ACME. Kubernetes menyimpan kunci pribadi di Kubernetes Secret atau Hashicorp Vault, sehingga memberikan integrasi tanpa batas untuk sistem manajemen sertifikat. Tim DevOps juga dapat menandatangani container mereka secara digital dengan CA pribadi untuk membantu memverifikasi container tertentu saat berkomunikasi melalui koneksi TLS.

Selain otomatisasi, DevOps perlu meningkatkan visibilitas sertifikat mereka untuk menghindari pemadaman yang tidak perlu. Anggota tim harus dapat memperbarui sertifikat sebelum kedaluwarsa dan menangani konfigurasi yang tidak tepat untuk memastikan bahwa layanan penting tetap aktif. TechBeacon mencatat bahwa DevOps harus menggunakan koleksi otomatisasi berbasis API yang disebut "resep" untuk mengatur proses mereka yang melibatkan kunci dan sertifikat dalam upaya untuk menyeimbangkan kelincahan dan keamanan.

Punya pemikiran tentang ini? Beri tahu kami di bawah di komentar atau bawa diskusi ke Twitter atau Facebook kami.

Rekomendasi Editor:

• Bagaimana cara menerapkan pengujian berkelanjutan di DevOps?
• Insinyur AWS DevOps membuat PEMBUNUHAN – mulai karir Anda dengan paket kursus $30 ini
• Bagaimana DevOps dapat melindungi data pelanggan
• Bagaimana DevOps mengubah pengembangan perangkat lunak

Catatan Editor: David Bisson adalah seorang penulis keamanan informasi dan pecandu keamanan. Dia adalah editor yang berkontribusi untuk Intelijen Keamanan IBM dan Blog Negara Keamanan Tripwire, dan dia adalah penulis yang berkontribusi untuk Bora. Dia juga secara teratur memproduksi konten tertulis untuk Zix dan sejumlah perusahaan lain di bidang keamanan digital.