DevSecOps के विभिन्न पहलू
“क्या आपने SAST का काम पूरा कर लिया है? DAST भी? बढ़िया – हमारे पास DevSecOps है!”
मैंने हाल ही में इस दावे के बारे में मेरी अपेक्षा से अधिक सुना है।
एक DevSecOps दृष्टिकोण में जाना, यहां तक कि अपने शुरुआती चरणों में, केवल कोड विश्लेषण करने से कहीं अधिक है। सीएसए के एक अध्ययन के मुताबिक, 30% कंपनियां पहले से ही अपने संगठन में DevSecOps को लागू करने की प्रक्रिया में हैं।जो क्लाउड सुरक्षा के लिए इसकी प्रासंगिकता को दर्शाता है।
देवसेकऑप्स यह बहुत ही मानव-केंद्रित है और पूरे संगठन में इसे स्पष्ट किया जाना चाहिए। DevSecOps के निर्माण के लिए प्रक्रिया और संस्कृति एक ठोस आधार है। उस ने कहा, चलो टूलचेन के बारे में बात करते हैं। DevOps के भीतर सुरक्षा नियंत्रणों के बारे में सोचते समय, हमें इस बारे में व्यापक दृष्टिकोण की आवश्यकता होती है कि क्या संरक्षित किया जाना चाहिए। इसमें शामिल है कि स्वचालन कैसे किया जाता है, कैसे निर्माण को मंजूरी दी जाती है, उत्पादन के लिए कितना जोखिम तैनात किया जाता है, और इसी तरह।
बायां शिफ्ट DevOps टीमों के साथ लोकप्रिय हो गया है और अधिक से अधिक लोग इसे अपनी परियोजनाओं में शामिल कर रहे हैं। तदनुसार कार्य करने के लिए, आपको अपने साथियों के विकास में दृश्यता की आवश्यकता है। कई परीक्षण उपकरण आपके कोड चरणों में सुरक्षा कमियों को खोजने में आपकी सहायता कर सकते हैं। जल्दी/दस्त उस मामले पर संदर्भ के लिए। लेकिन लेफ्ट शिफ्ट का मतलब है अपनी चेतना को दायीं ओर रखना।
कोड के एक बहुत ही सरल 3-चरण प्रवाह में, निर्माण, परिनियोजन, DevSecOps आमतौर पर केवल पहले चरण में ही जुड़ा होता है। प्रत्येक चरण की अपनी चुनौतियाँ होती हैं। सोर्स कोड मैनेजमेंट (एससीएम) से शुरू करते हुए, क्या आप जानते हैं कि आपके सोर्स रिपोजिटरी में कितनी कमजोरियां हैं? क्या आप उनमें से प्रत्येक को उनके मूल पैकेज में वापस ढूंढ सकते हैं? आप उन्हें कैसे नियंत्रित/निगरानी करते हैं? पॉप अप करने वाले प्रश्न का हिस्सा है इस कदम पर। कुछ एसएएसटी उपयोगी हैं, अन्य नहीं हैं। साथ ही, हमेशा ध्यान रखें कि आपके टूलचेन में मजबूत और पूरक प्रक्रियाएं हैं।
फिर अगले चरण पर जाएं, बिल्ड. रिपॉजिटरी में जो भी अभिनव उत्पाद बनाया जा रहा है, आर्टिफैक्ट रिपोजिटरी पर जाएं (अक्सर रजिस्ट्री, जो आपके कंटेनर छवियों का घर है)। मैं कैसे सुनिश्चित कर सकता हूं कि ये कलाकृतियां उसी स्थिति के साथ पारित हो गई हैं? यदि कुछ जोखिम स्वीकृति हो गई है (उदाहरण के लिए एक पैकेज जिसमें कोई फिक्स उपलब्ध नहीं है लेकिन एप्लिकेशन के कार्य करने के लिए आवश्यक है), या यदि सभी कमजोरियां तय हो गई हैं, तो आर्टिफैक्ट उसी स्थिति में रहना चाहिए। क्या यह जानने का कोई तरीका है कि कंटेनर छवि में कुछ गलत हुआ है या नहीं?
ये सभी मुद्दे इस बात पर विचार किए बिना उत्पन्न होते हैं कि कमजोर IAM नियंत्रणों से जुड़े CI/CD सुरक्षा जोखिमों, तृतीय-पक्ष टूल के अनुचित उपयोग आदि के कारण निर्माण प्रक्रिया की भी निगरानी की जानी चाहिए।
पिछले सभी चरणों से, परिनियोजन के लिए आगे बढ़ें। संभावनाओं की एक पूरी नई दुनिया आपके आवेदन की बुनियादी वास्तुकला पर निर्भर करती है। सर्वर रहित? क्या माइक्रोसर्विसेज दृष्टिकोण बेहतर अनुकूल नहीं होगा? क्या आप कंटेनरों और ऑर्केस्ट्रेशन के लिए सीएसपी प्रबंधित सेवाओं का उपयोग करने की योजना बना रहे हैं? इन विशेषताओं को पहले से जानना महत्वपूर्ण है, क्योंकि आपको अपनी टूलचेन तैयार करने की आवश्यकता होगी।
मेरे द्वारा उल्लिखित सभी विकल्पों की अपनी सीमाएँ और विचार हैं। उदाहरण के लिए, यदि आपका समाधान एजेंट-आधारित है, तो आप PaS आर्किटेक्चर के साथ संघर्ष कर सकते हैं। हम अपनी यात्रा की गहराई में हैं और कोडशिप पहले ही शुरू हो चुकी है, लेकिन नए नियंत्रण और प्रक्रियाओं को लागू करने की आवश्यकता है।
DevSecOps सुरक्षा के लिए DevOps है। चपलता और पर्याप्त सुरक्षा के बीच संतुलन लक्ष्य है। DevSecOps यात्रा के बारे में है, न कि केवल कोड के बारे में। एक उदाहरण के रूप में उपयोग किए जाने वाले तीन-चरणीय प्रवाह के अलावा, अतिरिक्त जोखिम हैं जिन्हें संबोधित करने की आवश्यकता है जो कि पाइपलाइन और आवेदन को संबोधित किया जा रहा है। उत्पादन में सुरक्षा निगरानी में क्या होता है, आप पहचान के साथ क्या करते हैं। DevOps प्रक्रिया के दौरान?
DevSecOps ढांचे में निरंतर निगरानी और शून्य विश्वास भी शामिल है। यह आपके कोड में क्या हो रहा है इसका विश्लेषण करने से कहीं अधिक है।
यह एक कठिन यात्रा है। कोई गलती नहीं है। लेकिन इन सभी कारकों पर जल्दी विचार किया जाना चाहिए। सुरक्षा व्यवसायियों से लेकर सुरक्षा वास्तुकारों तक, सहकर्मियों और ग्राहकों को यह बताना अनिवार्य है कि जब आप DevSecOps के बारे में बात करते हैं, तो आपको एक बहु-चरणीय चुनौती का सामना करना पड़ रहा है जो कि DevOps की शुरुआत में ही शुरू हो जाती है (जानबूझकर छोड़े गए डिज़ाइन चरणों में भी)। यह एक कभी न खत्म होने वाली यात्रा है, जिसमें लगातार नई क्षमताओं की आवश्यकता होती है और बाजार में नई प्रौद्योगिकी के रुझान उभर रहे हैं।
DevSecOps में क्या शामिल है, इसे समझने में हम जितने स्पष्ट होंगे, हम इन चुनौतियों का सामना करने में उतना ही बेहतर होंगे।
एलेजांद्रो बर्नाल एक सुरक्षा वास्तुकार हैं, आईएसएसीए का उभरते रुझान कार्य समूह
