Почему цифровые сертификаты так важны для ваших команд DevOps

Опубликовано: 2020-10-02

Организации все чаще интегрируют DevOps в свои процессы разработки приложений. По данным Amazon Web Services (AWS), DevOps имеет большие перспективы для организаций, потому что потенциально может повысить скорость и возможности развертывания новых приложений и сервисов. Это достигается благодаря совместной работе групп разработки и эксплуатации на протяжении всего жизненного цикла приложения. (Группы безопасности также могут участвовать в процессе, известном как DevSecOps.) Вместе специалисты по разработке и эксплуатации используют расширенные технологические стеки и инструменты для автоматизации процессов, которые они традиционно выполняли вручную.

Излишне говорить, что организации могут получить много преимуществ, приняв модель DevOps. Предоставленные сами себе, разработчики, операционный персонал, специалисты по безопасности и даже люди из отдела обеспечения качества не всегда знают о препятствиях, которые могут стоять на пути своевременного завершения проекта. Это потому, что эти группы добавляют что-то другое к заданию. Как отмечает Digital.ai, они не обязательно подходят к своей работе с одинаковым пониманием бизнес-контекста или ценности нового приложения. Таким образом, у этих команд могут даже быть противоположные цели, которые могут сдерживать проект и приводить к распрям.

Цифровые сертификаты: вызов для DevOps, чтобы не отставать от безопасности

Организации хотят получить максимальную отдачу от объединения своих различных команд в рамках модели DevOps. Признавая этот факт, неудивительно, что DevOps как образ мышления постоянно меняется в попытке соответствовать постоянно развивающемуся технологическому ландшафту. Поэтому DevOps должен идти в ногу с областью информационной безопасности.

Сид Фадкар, старший менеджер по продуктам в Akamai, прояснил это для TechRepublic :

В связи с растущим числом утечек данных и повышенным вниманием к правилам конфиденциальности данных, таким как PSD2 и GDPR, как в США, так и во всем мире, организации, разбирающиеся в DevOps, будут вынуждены уделить первоочередное внимание мерам безопасности, которые будут выходить на рынок в следующем году. По мере введения в действие новых правил большему количеству разработчиков приложений будет поручено создавать строгие политики безопасности непосредственно в коде. Будет расти число инструментов DevOps, предназначенных для автоматизации большего количества задач, связанных с соблюдением требований, в командах информационной безопасности, что позволит включать меры безопасности и соответствия в повседневные рабочие процессы CI.

Проблема в том, что не всегда легко согласовать DevOps с безопасностью. Действительно, Keyfactor отметил, что многие организации изо всех сил пытаются внедрить согласованные политики безопасности вокруг DevOps из-за конфликтов, описанных выше. Надлежащие методы обеспечения безопасности обычно связаны со своевременной доставкой нового приложения или услуги. Таким образом, без правильных инструментов для поддержки DevOps сотрудники службы безопасности не могут поддерживать разработчиков так, как им нужно. Поэтому разработчики будут более склонны сопротивляться новым методам обеспечения безопасности и находить несовместимые альтернативы новым процессам, которые их замедляют.

Эти проблемы особенно важны для управления жизненным циклом сертификатов. Организациям необходимо защитить жизненный цикл DevOps с помощью PKI посредством подписи кода или создания сертификата. Но, как отмечает AppViewX, эта реализация PKI часто страдает от плохой видимости жизненных циклов сертификатов и непоследовательной связи с центрами сертификации.

Обычные конвейеры DevOps также обычно полагаются на ручные запросы для получения доверенных сертификатов. Эти типы запросов подрывают гибкость жизненного цикла разработки программного обеспечения. Большинство контейнеров работают недолго, поэтому, если выполнение этих запросов займет несколько дней, полученные цифровые сертификаты будут практически бесполезны, если только организация не замедлит доставку приложений. Такой динамизм также затрудняет для DevOps самостоятельное управление и мониторинг этих сертификатов. Таким образом, члены группы могут искать обходные пути, прибегать к специальным процессам или приобретать сертификаты, использующие несколько криптографических стандартов — варианты, повышающие риск безопасности организации.

Эти опасения находят отклик не только у отраслевых аналитиков. Они также используются профессионалами DevOps. В опросе 2019 года 74% специалистов DevOps сказали Venafi, что они обеспокоены тем, что выпуск сертификатов может замедлить разработку. Чуть более трети (39%) разработчиков заявили, что они должны иметь возможность обходить эти политики для выполнения своих соглашений об уровне обслуживания, в то время как менее половины (48%) респондентов выразили уверенность в том, что разработчики в их организации всегда запрашивают сертификаты по каналам. и методы, одобренные командой безопасности.

Как команды DevOps могут лучше всего обращаться со своими сертификатами

В ответ на описанные выше проблемы команды DevOps могут наилучшим образом обрабатывать свои сертификаты, автоматизируя свои процессы управления сертификатами. Как отмечает DevOps.com, такие инструменты оркестрации, как Kubernetes, поддерживают управление сертификатами по протоколу ACME. Kubernetes хранит закрытые ключи в хранилище Kubernetes Secret или Hashicorp Vault, что обеспечивает бесшовную интеграцию с системой управления сертификатами. Команды DevOps также могут подписывать свои контейнеры цифровой подписью с помощью частного ЦС, чтобы проверить конкретный контейнер, когда он обменивается данными через соединение TLS.

Помимо автоматизации, DevOps необходимо увеличить видимость своих сертификатов, чтобы избежать ненужных простоев. Члены группы должны иметь возможность обновлять сертификаты до истечения срока их действия и устранять неправильные конфигурации, чтобы убедиться, что критически важные службы остаются в рабочем состоянии. TechBeacon отмечает, что DevOps должны использовать коллекции автоматизации на основе API, называемые «рецептами», для организации своих процессов с использованием ключей и сертификатов, чтобы сбалансировать гибкость и безопасность.

Есть какие-нибудь мысли по этому поводу? Дайте нам знать внизу в комментариях или перенесите обсуждение в наш Twitter или Facebook.

Почему цифровые сертификаты так важны для ваших команд DevOps

Цифровые сертификаты: вызов для DevOps, чтобы не отставать от безопасности

Как команды DevOps могут лучше всего обращаться со своими сертификатами

Рекомендации редакции: