เหตุใดใบรับรองดิจิทัลจึงมีความสำคัญต่อทีม DevOps ของคุณ

องค์กรต่างๆ กำลังรวม DevOps เข้ากับกระบวนการพัฒนาแอปของตนมากขึ้น จากข้อมูลของ Amazon Web Services (AWS) DevOps ยังคงรักษาสัญญากับองค์กรไว้มากมาย เนื่องจากมีศักยภาพที่จะเพิ่มความเร็วและความสามารถในการปรับใช้แอปและบริการใหม่ๆ ทำได้โดยให้ทีมพัฒนาและดำเนินการทำงานร่วมกันตลอดวงจรชีวิตของแอปพลิเคชันทั้งหมด (ทีมรักษาความปลอดภัยอาจมีส่วนร่วมในกระบวนการที่เรียกว่า DevSecOps) บุคลากรฝ่ายพัฒนาและฝ่ายปฏิบัติการร่วมกันใช้สแต็คเทคโนโลยีและเครื่องมือที่ขยายเพิ่มเพื่อทำให้กระบวนการที่พวกเขาดำเนินการด้วยตนเองเป็นไปโดยอัตโนมัติ

ไม่จำเป็นต้องพูด องค์กรสามารถเก็บเกี่ยวผลประโยชน์มากมายโดยใช้โมเดล DevOps เมื่อถูกทิ้งไว้ที่ไซโล นักพัฒนา เจ้าหน้าที่ฝ่ายปฏิบัติการ ผู้เชี่ยวชาญด้านความปลอดภัย และแม้แต่เจ้าหน้าที่จากฝ่ายประกันคุณภาพก็ไม่จำเป็นต้องรู้ถึงสิ่งกีดขวางบนถนนที่อาจขวางทางให้โครงการเสร็จทันเวลา นั่นเป็นเพราะว่ากลุ่มเหล่านี้เพิ่มสิ่งที่แตกต่างไปจากงานที่ได้รับมอบหมาย ดังที่ Digital.ai ระบุไว้ พวกเขาไม่จำเป็นต้องเข้าถึงงานของพวกเขาด้วยความเข้าใจแบบเดียวกันในบริบททางธุรกิจหรือคุณค่าของแอปพลิเคชันใหม่ ด้วยเหตุนี้ ทีมเหล่านี้จึงอาจมีเป้าหมายที่ตรงกันข้ามซึ่งสามารถขัดขวางโครงการและนำไปสู่การสู้รบแบบประจัญบานได้

ใบรับรองดิจิทัล: ความท้าทายสำหรับ DevOps ในการติดตามความปลอดภัย

องค์กรต้องการได้รับประโยชน์สูงสุดจากการรวมทีมต่างๆ เข้าด้วยกันภายใต้โมเดล DevOps เมื่อรับทราบถึงข้อเท็จจริงนั้น จึงไม่น่าแปลกใจที่ DevOps ในฐานะความคิดจะเปลี่ยนแปลงอยู่ตลอดเวลาในความพยายามที่จะปรับให้เข้ากับแนวเทคโนโลยีที่พัฒนาตลอดเวลา DevOps จึงต้องติดตามฟิลด์ความปลอดภัยของข้อมูล

Sid Phadkar ผู้จัดการผลิตภัณฑ์อาวุโสของ Akamai ได้ชี้แจงประเด็นนี้แก่ TechRepublic อย่างชัดเจน :

ด้วยจำนวนการละเมิดข้อมูลที่เพิ่มขึ้นและการเน้นย้ำกฎระเบียบความเป็นส่วนตัวของข้อมูล เช่น PSD2 และ GDPR ทั้งในสหรัฐอเมริกาและทั่วโลก องค์กรที่เชี่ยวชาญ DevOps จะถูกบังคับให้จัดลำดับความสำคัญของความขยันในมาตรการรักษาความปลอดภัยล่วงเวลาสู่ตลาดในปีหน้า เมื่อมีการออกกฎระเบียบใหม่ นักพัฒนาแอปพลิเคชันจำนวนมากขึ้นจะได้รับคำสั่งให้สร้างนโยบายความปลอดภัยที่เข้มงวดโดยตรงภายในโค้ด จะมีการเพิ่มเครื่องมือ DevOps ที่ตอบสนองงานที่เกี่ยวข้องกับการปฏิบัติตามกฎระเบียบโดยอัตโนมัติภายในทีมของ infosec ซึ่งรวมเอามาตรการรักษาความปลอดภัยและการปฏิบัติตามกฎระเบียบเข้ากับเวิร์กโฟลว์ CI ทุกวัน

ปัญหาคือการจัด DevOps ให้สอดคล้องกับความปลอดภัยไม่ใช่เรื่องง่ายเสมอไป แท้จริงแล้ว Keyfactor ตั้งข้อสังเกตว่าหลายองค์กรพยายามที่จะบังคับใช้นโยบายความปลอดภัยที่สอดคล้องกันเกี่ยวกับ DevOps เนื่องจากข้อขัดแย้งที่กล่าวถึงข้างต้น แนวทางปฏิบัติด้านความปลอดภัยที่ดีมักเกี่ยวข้องกับการส่งมอบแอปพลิเคชันหรือบริการใหม่ในเวลาที่เหมาะสม หากไม่มีเครื่องมือที่เหมาะสมในการสนับสนุน DevOps เจ้าหน้าที่รักษาความปลอดภัยจึงไม่สามารถสนับสนุนนักพัฒนาในลักษณะที่จำเป็นต้องได้รับการสนับสนุน ดังนั้น นักพัฒนาซอฟต์แวร์จึงมีแนวโน้มที่จะต่อต้านแนวทางปฏิบัติด้านความปลอดภัยใหม่ๆ และค้นหาทางเลือกที่ไม่เป็นไปตามข้อกำหนดสำหรับกระบวนการใหม่ๆ ที่ทำให้พวกเขาทำงานช้าลง

ความท้าทายเหล่านี้เป็นปัญหาพิเศษสำหรับการจัดการวงจรชีวิตใบรับรอง องค์กรจำเป็นต้องรักษาความปลอดภัยวงจรชีวิต DevOps ด้วย PKI ผ่านการลงนามโค้ดหรือสร้างใบรับรอง แต่ตามที่ระบุไว้โดย AppViewX การใช้งาน PKI นี้มักจะได้รับผลกระทบจากการมองเห็นที่ไม่ดีในวงจรชีวิตของใบรับรองและการสื่อสารที่ไม่สอดคล้องกันกับผู้ออกใบรับรอง

ไปป์ไลน์ DevOps ทั่วไปมักอาศัยการร้องขอด้วยตนเองเพื่อรับใบรับรองที่เชื่อถือได้ คำขอประเภทนี้บ่อนทำลายความคล่องตัวของวงจรการพัฒนาซอฟต์แวร์ คอนเทนเนอร์ส่วนใหญ่ใช้งานได้ไม่นาน ดังนั้นหากคำขอเหล่านั้นใช้เวลาหลายวันกว่าจะเสร็จสมบูรณ์ ใบรับรองดิจิทัลที่ได้จะไม่มีประโยชน์อย่างมีประสิทธิภาพ เว้นแต่องค์กรจะชะลอการจัดส่งแอปพลิเคชัน ไดนามิกดังกล่าวยังทำให้ DevOps จัดการและตรวจสอบใบรับรองเหล่านั้นได้ยาก สมาชิกในทีมจึงสามารถมองหาทางลัด หันไปใช้กระบวนการเฉพาะกิจ หรือซื้อใบรับรองที่ใช้มาตรฐานการเข้ารหัสหลายแบบ—รูปแบบต่างๆ ที่เพิ่มความเสี่ยงด้านความปลอดภัยขององค์กร

ความกังวลเหล่านี้ไม่ได้สะท้อนเฉพาะกับนักวิเคราะห์อุตสาหกรรมเท่านั้น พวกเขายังแบ่งปันโดยผู้เชี่ยวชาญ DevOps ในการสำรวจในปี 2019 ผู้เชี่ยวชาญด้าน DevOps 74% บอกกับ Venafi ว่าพวกเขากังวลว่าการออกใบรับรองอาจทำให้การพัฒนาช้าลง นักพัฒนามากกว่าหนึ่งในสาม (39%) กล่าวว่าพวกเขาควรจะสามารถหลีกเลี่ยงนโยบายเหล่านั้นเพื่อให้เป็นไปตามข้อตกลงระดับการบริการ ในขณะที่น้อยกว่าครึ่ง (48%) ของผู้ตอบแบบสอบถามแสดงความเชื่อว่านักพัฒนาในองค์กรขอใบรับรองผ่านช่องทางเสมอ และวิธีการที่ได้รับอนุมัติจากทีมรักษาความปลอดภัย

วิธีที่ทีม DevOps สามารถจัดการใบรับรองได้ดีที่สุด

เพื่อตอบสนองต่อความท้าทายที่กล่าวถึงข้างต้น ทีม DevOps สามารถจัดการใบรับรองของตนได้ดีที่สุดโดยทำให้กระบวนการจัดการใบรับรองเป็นแบบอัตโนมัติ ตามที่ระบุไว้โดย DevOps.com เครื่องมือประสานเช่น Kubernetes รองรับการจัดการใบรับรองผ่านโปรโตคอล ACME Kubernetes จัดเก็บคีย์ส่วนตัวใน Kubernetes Secret หรือ Hashicorp Vault จึงให้การผสานรวมที่ราบรื่นสำหรับระบบการจัดการใบรับรอง ทีม DevOps ยังสามารถเซ็นชื่อคอนเทนเนอร์แบบดิจิทัลด้วย CA ส่วนตัวเพื่อช่วยตรวจสอบคอนเทนเนอร์ที่กำหนดในขณะที่สื่อสารผ่านการเชื่อมต่อ TLS

นอกเหนือจากการทำงานอัตโนมัติ DevOps ยังต้องเพิ่มการมองเห็นใบรับรองเพื่อหลีกเลี่ยงการหยุดทำงานที่ไม่จำเป็น สมาชิกในทีมต้องสามารถต่ออายุใบรับรองก่อนหมดอายุ และเพื่อจัดการกับการกำหนดค่าที่ไม่เหมาะสม เพื่อให้แน่ใจว่าบริการที่สำคัญยังคงอยู่ TechBeacon ตั้งข้อสังเกตว่า DevOps ควรใช้คอลเลกชันระบบอัตโนมัติที่ขับเคลื่อนด้วย API ที่เรียกว่า "สูตร" เพื่อจัดการกระบวนการที่เกี่ยวข้องกับคีย์และใบรับรอง เพื่อสร้างสมดุลระหว่างความคล่องตัวและความปลอดภัย

มีความคิดเกี่ยวกับเรื่องนี้หรือไม่? แจ้งให้เราทราบด้านล่างในความคิดเห็นหรือดำเนินการสนทนาไปที่ Twitter หรือ Facebook ของเรา

คำแนะนำของบรรณาธิการ:

• จะใช้การทดสอบอย่างต่อเนื่องใน DevOps ได้อย่างไร
• วิศวกรของ AWS DevOps กำลังทำ KILLING – เริ่มต้นอาชีพของคุณด้วยชุดหลักสูตรราคา $30
• DevOps สามารถปกป้องข้อมูลลูกค้าได้อย่างไร
• DevOps พลิกโฉมการพัฒนาซอฟต์แวร์อย่างไร

หมายเหตุบรรณาธิการ: David Bisson เป็นนักเขียนด้านความปลอดภัยข้อมูลและขี้ยาด้านความปลอดภัย เขาเป็นบรรณาธิการที่มีส่วนร่วมใน Security Intelligence ของ IBM และบล็อก The State of Security ของ Tripwire และเขาเป็นผู้เขียนร่วมของ Bora นอกจากนี้ เขายังผลิตเนื้อหาที่เป็นลายลักษณ์อักษรสำหรับ Zix และบริษัทอื่นๆ อีกหลายแห่งในพื้นที่ความปลอดภัยดิจิทัล