Blogs

Pentingnya Keamanan dalam Environment Cloud Anda

Blog Single

Tujuan dari keamanan aplikasi dan DevSecOps adalah untuk mengintegrasikan jaminan keamanan ke dalam proses pengembangan dan aplikasi custom line of business (LOB).

Modernisasi

Pengembangan aplikasi dengan cepat dibentuk kembali dalam berbagai aspek secara bersamaan termasuk model tim DevOps, irama rilis cepat DevOps, dan komposisi teknis aplikasi melalui layanan cloud dan API. Lihat bagaimana cloud mengubah hubungan keamanan dan tanggung jawab untuk memahami perubahan ini.

Modernisasi model pengembangan kuno ini menghadirkan peluang dan persyaratan untuk memodernisasi keamanan aplikasi dan proses pengembangan. Fungsi keamanan ke dalam proses DevOps sering disebut sebagai DevSecOps dan mendorong perubahan termasuk:

  • Keamanan terintegrasi, bukan persetujuan dari luar: Laju perubahan yang cepat dalam pengembangan aplikasi membuat pendekatan "scan and report" lengan klasik menjadi usang. Pendekatan warisan ini tidak dapat mengikuti rilis tanpa menghentikan pengembangan dan menciptakan penundaan waktu ke pasar, underutilization pengembang, dan pertumbuhan backlog masalah.

    • Shift kiri untuk melibatkan keamanan sebelumnya dalam proses pengembangan aplikasi karena memperbaiki masalah sebelumnya lebih murah, lebih cepat, dan lebih efektif. Jika Anda menunggu sampai setelah kue dipanggang, lebih sulit untuk mengubah bentuk.

    • Integrasi asli: Praktik keamanan harus diintegrasikan dengan mulus untuk menghindari gesekan yang tidak sehat dalam alur kerja pengembangan dan proses integrasi / penyebaran berkelanjutan (CI / CD). Untuk informasi lebih lanjut tentang pendekatan GitHub, lihat Mengamankan perangkat lunak, bersama-sama.

    • Keamanan berkualitas tinggi: Keamanan harus memberikan temuan dan panduan berkualitas tinggi yang memungkinkan pengembang untuk memperbaiki masalah dengan cepat dan tidak membuang waktu pengembang dengan positif palsu.

    • Budaya konvergen: Peran keamanan, pengembangan, dan operasi harus menyumbangkan elemen-elemen kunci ke dalam budaya bersama, nilai-nilai bersama, dan tujuan dan akuntabilitas bersama.

  • Keamanan tangkas: Pergeseran keamanan dari pendekatan "harus sempurna untuk dikirim" ke pendekatan tangkas yang dimulai dengan keamanan minimum yang layak untuk aplikasi (dan untuk proses untuk mengembangkannya) yang terus ditingkatkan secara bertahap.

  • Merangkul fitur infrastruktur dan keamanan cloud-native untuk merampingkan proses pengembangan sambil mengintegrasikan keamanan.

  • Manajemen risiko rantai pasokan: Ambil pendekatan zero-trust untuk perangkat lunak open-source (OSS) dan komponen pihak ketiga yang memvalidasi integritas mereka dan memastikan bahwa perbaikan bug dan pembaruan diterapkan pada komponen-komponen ini.

  • Pembelajaran berkelanjutan: Laju rilis layanan pengembang yang cepat, kadang-kadang disebut platform sebagai layanan (PaaS) layanan, dan perubahan komposisi aplikasi berarti bahwa dev, ops, dan anggota tim keamanan akan terus belajar teknologi baru.

  • Pendekatan terprogram untuk keamanan aplikasi untuk memastikan perbaikan terus-menerus dari pendekatan tangkas terjadi.

Untuk konteks tambahan, lihat Siklus hidup pengembangan aman Microsoft.

Komposisi tim dan hubungan kunci

Keamanan aplikasi dan fungsi DevSecOps idealnya dilakukan oleh pengembang dan tim operasi yang sadar keamanan (dengan dukungan pakar materi pelajaran keamanan).

Fungsi ini umumnya berinteraksi dengan fungsi dan pakar lain termasuk:

  • Arsitektur dan operasi keamanan

  • Keamanan infrastruktur

  • Komunikasi (pelatihan dan perkakas)

  • Keamanan orang

  • Identitas dan kunci

  • Tim kepatuhan/manajemen risiko

  • Pemimpin bisnis utama atau perwakilan mereka

Baca juga: IMPLEMENTASI DEVSECOPS SERTA TANTANGAN YANG PERUSAHAAN PERLU HADAPI