DevOps ekipleriniz için dijital sertifikalar neden bu kadar önemli?

Kuruluşlar, DevOps'u uygulama geliştirme süreçlerine giderek daha fazla entegre ediyor. Amazon Web Services'e (AWS) göre DevOps, yeni uygulamalar ve hizmetler dağıtma hızını ve yeteneğini artırma potansiyeline sahip olduğu için kuruluşlara çok şey vaat ediyor. Bunu, geliştirme ve operasyon ekiplerinin tüm uygulama yaşam döngüsü boyunca birlikte çalışmasını sağlayarak yapar. (Güvenlik ekipleri ayrıca DevSecOps olarak bilinen bir sürece dahil olabilir.) Geliştirme ve operasyon personeli birlikte, geleneksel olarak manuel olarak yerine getirdikleri süreçleri otomatikleştirmek için genişletilmiş teknoloji yığınlarını ve araçlarını kullanır.

Söylemeye gerek yok ki, kuruluşlar bir DevOps modelini benimseyerek birçok fayda sağlayabilir. Silolarına bırakıldıklarında, geliştiriciler, operasyon personeli, güvenlik uzmanları ve hatta Kalite Güvencesi çalışanları, bir projenin zamanında bitirilmesinin önündeki engellerin ne olduğunu tam olarak bilemezler. Bunun nedeni, bu grupların bir ödeve farklı bir şey eklemesidir. Digital.ai tarafından belirtildiği gibi, çalışmalarına yeni bir uygulamanın iş bağlamı veya değeri konusunda aynı anlayışla yaklaşmaları gerekmez. Bu nedenle, bu ekiplerin bir projeyi geride bırakabilecek ve iç çatışmalara yol açabilecek karşıt hedefleri bile olabilir.

Dijital Sertifikalar: DevOps'un Güvenliğe ayak uydurması için Zorluk

Kuruluşlar, farklı ekiplerini bir DevOps modeli altında bir araya getirerek en iyi şekilde yararlanmak istiyor. Bu gerçeği kabul ederek, sürekli gelişen teknoloji ortamına uyum sağlamak için bir zihniyet olarak DevOps'un sürekli değişmesi şaşırtıcı değildir. DevOps bu nedenle bilgi güvenliği alanına ayak uydurmalıdır.

Akamai'de kıdemli ürün müdürü olan Sid Phadkar, TechRepublic'e bu noktayı açıkça belirtti:

Artan sayıda veri ihlali ve hem ABD'de hem de küresel olarak PSD2 ve GDPR gibi veri gizliliği düzenlemelerine artan vurgu ile DevOps konusunda bilgili kuruluşlar, önümüzdeki yıl pazara yönelik güvenlik önlemleri konusunda titizliğe öncelik vermek zorunda kalacaklar. Yeni düzenlemeler yürürlüğe girdikçe, daha fazla uygulama geliştiricisi, doğrudan kod içinde katı güvenlik politikaları oluşturmakla görevlendirilecek. Infosec ekipleri içinde uyumla ilgili daha fazla görevi otomatikleştirmeye yönelik DevOps araçlarında bir artış olacak, böylece güvenlik ve uyumluluk önlemlerini günlük CI iş akışlarına dahil edecek.

Sorun, DevOps'u güvenlikle uyumlu hale getirmenin her zaman kolay olmamasıdır. Gerçekten de Keyfactor, birçok kuruluşun yukarıda tartışılan çatışmalar nedeniyle DevOps çevresinde tutarlı güvenlik politikaları uygulamakta zorlandığını belirtti. İyi güvenlik uygulamaları genellikle yeni bir uygulamanın veya hizmetin zamanında teslim edilmesiyle bağlantılıdır. DevOps'u desteklemek için doğru araçlar olmadan, güvenlik personeli bu nedenle geliştiricileri desteklenmeleri gereken şekilde destekleyemez. Bu nedenle geliştiriciler, yeni güvenlik uygulamalarına direnmeye ve onları yavaşlatan yeni süreçlere uyumlu olmayan alternatifler bulmaya daha meyilli olacaktır.

Bu zorluklar, sertifika yaşam döngüsü yönetimi için özel bir endişe kaynağıdır. Kuruluşların, kod imzalama veya sertifika oluşturma yoluyla DevOps yaşam döngüsünü PKI ile güvence altına alması gerekir. Ancak AppViewX tarafından belirtildiği gibi, bu PKI uygulaması, genellikle sertifika yaşam döngülerine ilişkin zayıf görünürlükten ve Sertifika Yetkilileri ile tutarsız iletişimden muzdariptir.

Geleneksel DevOps işlem hatları, güvenilir sertifikalar elde etmek için genellikle manuel isteklere de dayanır. Bu tür istekler, yazılım geliştirme yaşam döngüsünün çevikliğini zayıflatır. Çoğu kapsayıcı çok uzun süre çalışmaz, bu nedenle, bu isteklerin tamamlanması günler sürerse, kuruluş uygulama dağıtımını yavaşlatmadığı sürece ortaya çıkan dijital sertifikalar etkili bir şekilde işe yaramaz. Bu tür bir dinamizm, DevOps'un bu sertifikaları kendi başlarına yönetmesini ve izlemesini de zorlaştırır. Bu nedenle ekip üyeleri kısayollar arayabilir, geçici süreçlere başvurabilir veya birden çok şifreleme standardı kullanan sertifikalar satın alabilir; bunlar kuruluşun güvenlik riskini artıran varyasyonlardır.

Bu endişeler yalnızca endüstri analistlerinde yankılanmıyor. Ayrıca DevOps uzmanları tarafından da paylaşılır. 2019'da yapılan bir ankette DevOps uzmanlarının %74'ü Venafi'ye sertifika vermenin geliştirmeyi yavaşlatabileceğinden endişe duyduklarını söyledi. Geliştiricilerin üçte birinden biraz fazlası (%39), hizmet düzeyi anlaşmalarını karşılamak için bu politikaları aşabilmeleri gerektiğini söylerken, yanıt verenlerin yarısından azı (%48) kuruluşlarındaki geliştiricilerin her zaman kanallar aracılığıyla sertifika talep ettiğine olan inancını dile getirdi. ve güvenlik ekibi tarafından onaylanan yöntemler.

DevOps Ekipleri Sertifikalarını En İyi Nasıl Ele Alabilir?

DevOps ekipleri, yukarıda bahsedilen zorluklara yanıt olarak, sertifika yönetimi süreçlerini otomatikleştirerek sertifikalarını en iyi şekilde ele alabilir. DevOps.com tarafından belirtildiği gibi, Kubernetes gibi düzenleme araçları, ACME protokolü aracılığıyla sertifika yönetimini destekler. Kubernetes, özel anahtarları Kubernetes Secret veya Hashicorp Vault'ta saklayarak sertifika yönetim sistemi için sorunsuz entegrasyon sağlar. DevOps ekipleri, belirli bir kapsayıcının TLS bağlantısı üzerinden iletişim kurarken doğrulanmasına yardımcı olmak için kapsayıcılarını özel bir CA ile dijital olarak imzalayabilir.

Otomasyonun yanı sıra DevOps'un gereksiz kesintileri önlemek için sertifikalarının görünürlüğünü artırması gerekiyor. Ekip üyelerinin, sertifikaları süresi dolmadan önce yenileyebilmesi ve kritik hizmetlerin çalışır durumda kalmasını sağlamak için uygunsuz yapılandırmaları ele alabilmesi gerekir. TechBeacon , DevOps'un hem çevikliği hem de güvenliği dengelemek amacıyla anahtarları ve sertifikaları içeren süreçlerini düzenlemek için "tarifler" adı verilen API güdümlü otomasyon koleksiyonlarını kullanması gerektiğini belirtiyor.

Bu konuda herhangi bir fikriniz var mı? Aşağıdaki yorumlarda bize bildirin veya tartışmayı Twitter veya Facebook'a taşıyın.

Editörün Önerileri:

• DevOps'ta sürekli testler nasıl uygulanır?
• AWS DevOps mühendisleri KILLING yapıyor - bu 30 dolarlık kurs paketiyle kariyerinize hızlı bir başlangıç ​​yapın
• DevOps müşteri verilerini nasıl koruyabilir?
• DevOps yazılım geliştirmeyi nasıl dönüştürüyor?

Editörün Notu: David Bisson, bir bilgi güvenliği yazarı ve güvenlik bağımlısıdır. IBM'in Security Intelligence ve Tripwire'ın The State of Security Blog'una katkıda bulunan bir editör ve Bora için katkıda bulunan bir yazar. Ayrıca, dijital güvenlik alanındaki Zix ve bir dizi başka şirket için düzenli olarak yazılı içerik üretmektedir.