DevOps est aujourd’hui un incontournable de toute entreprise avant-gardiste. La formule agile d’avancement et de lancement aide les entreprises à résoudre rapidement les problèmes des clients et les besoins d’innovation du marché. Néanmoins, DevOps ne s’intègre pas bien aux protocoles de sécurité standard, ce qui crée une situation difficile à contrer pour les RSSI.
Traditionnellement, les groupes de sécurité travaillent indépendamment des développeurs, intervenant à des moments établis au cours du cycle de publication. Cette approche ne fonctionne pas avec un calendrier de publication glissant, sur lequel se concentre DevOps. Ainsi, les RSSI confrontés à des audits de sécurité finissent par constituer des obstacles lors de la procédure de libération, parfois même détachés des exigences organisationnelles.
La sécurité est un élément pilier de nos jours, compte tenu des effets néfastes des violations de données. Les organisations doivent associer la sécurité à des versions DevOps agiles. Comment les RSSI peuvent-ils faciliter cette intégration et créer un mécanisme de sécurité agile qui correspond à une évolution agile ?
Voici trois méthodes que les RSSI peuvent atteindre ces objectifs.
Concentrez-vous sur la confirmation de l’ID de la machine
Les protocoles traditionnels de gestion de l’identité se concentrent sur la vérification de l’identité humaine. Les ID utilisateur et les mots de passe dominent ce paysage. Cependant, l’automatisation régit les procédures DevOps et, par conséquent, les identifiants de fabricant contrôlent le paysage de la vérification d’identité.
Une approche de sécurité agile commence par la sécurisation des systèmes contre les accès machine injustifiés. Les machines sont liées à des applications modernes grâce à l’utilisation de microservices, de conteneurs basés sur le cloud et d’autres processus automatisés dans toute l’entreprise. À condition que la sécurité soit avancée, la majorité des applications ne parviennent pas à protéger et à confirmer les identifiants des appareils accédant à des astuces sensibles.
Les RSSI doivent donc donner la priorité à la vérification de l’identité du fabricant lorsqu’ils abordent la sécurité de l’identité. Cependant, face à la multiplication des applications que les entreprises utilisent, la plupart des solutions IAM cessent de fonctionner. Les RSSI doivent repenser leur méthode IAM et adopter des services basés sur des API qui intègrent divers conteneurs et microservices dans une plate-forme centrale de gestion des secrets, sans interrompre la circulation de l’avancement des produits.
Akeyless, par exemple, aide les équipes à ouvrir une méthode agile de certification et de management indispensable. Cet outil automatise la confirmation de l’ID de l’appareil en permettant aux CISO et aux ingénieurs de spécifier le danger et d’accéder aux spécifications en fonction du temps. La gestion des secrets et la génération d’identifiants d’accès uniques sont également automatisées, ce qui réduit la charge de travail des groupes de sécurité et leur donne plus de temps pour se plonger dans l’analyse des causes profondes.
Améliorez la sécurité et le partenariat de développement
Les concepteurs et les équipes de sécurité sont isolés les uns des autres dans les processus traditionnels. Actuellement, DevOps donne la priorité aux publications de code rapides et ne consiste pas en une sécurité dans la boucle. En conséquence, la sécurité fonctionne sur un calendrier différent du développement, créant des frictions inutiles.
L’interaction et le partenariat sont les options à ce problème. Pour commencer, les CISO doivent travailler avec les CIO pour identifier les espaces d’interaction et concevoir des groupes agiles. Un groupe agile comprend des développeurs full-stack ayant une compréhension de l’ensemble du cycle de publication. Ces équipes sont également composées de professionnels de la sécurité qualifiés avec des cycles de publication agiles.
Par conséquent, la sécurité finit par faire partie intégrante du pipeline CI/CD. Des outils tels que Jira favorisent l’interaction entre tous les groupes et amènent tout le monde sur la même page. Par exemple, les équipes de sécurité peuvent voir les calendriers de publication et travailler pour éliminer les frictions développées par les procédures de reconnaissance de code.
Certains exemples de ces efforts sont les modèles de conception de code pré-validés pour la sécurité, les exigences de codage qui imposent la sécurité depuis le sol et des outils de test automatisés qui exécutent des tests de tranquillité d’esprit sur le code de pré-version. De plus, les groupes de sécurité peuvent également analyser et pré-valider les environnements de développement pour s’assurer que la portabilité du code ne présente aucun risque de violation.
Tout simplement comme DevOps donne la priorité à l’utilisation d’outils pour atteindre plus d’efficacité, les CISO doivent adopter des outils pour développer un posture agile. Le message sous-jacent est que la sécurité n’a pas besoin d’être considérée comme une barrière. C’est une fonction d’élément dont les acheteurs ont besoin et qu’ils exigent.
Modifications de la configuration de l’écran
Les environnements DevOps se concentrent sur les versions rapides et la gestion des commentaires. Ainsi, les modifications de configuration se produisent souvent, ce qui pose problème aux RSSI. Les changements de configuration représentent certains des dangers de sécurité les plus importants dans un environnement de publication rapide.
Le suivi des modifications est difficile, compte tenu de la vitesse à laquelle elles se produisent. Les RSSI devraient accueillir favorablement les outils de journalisation et d’audit automatisés qui signalent les erreurs potentielles. Ansible pour DevOps aide les CISO à rester au courant des modifications de code et de la gestion de la configuration en utilisant des journaux et un suivi automatisés.
L’outil aide également les groupes de sécurité à établir des environnements d’avancement, qu’il s’agisse de bac à sable ou d’assurance qualité. En automatisant la plupart de ces tâches, les RSSI réduisent le problème administratif de leurs équipes et augmentent les performances.
Le Shadow IT est un problème très important dans les organisations de nos jours, compte tenu de la manière dont les équipes utilisent généralement les outils pour faire leur travail. Le SaaS a en fait normalisé la conception du service d’essai gratuit, au détriment de la sécurité de l’entreprise. Les RSSI doivent garder un œil sur l’utilisation des outils et créer des listes d’outils autorisés.
En outre, les RSSI doivent également spécifier les procédures de gestion des identifiants d’essai gratuits terminés. Ces identifiants fantômes offrent un vecteur d’attaque facile aux étoiles destructrices. En plus de garder un œil sur l’informatique fantôme, la gestion automatisée des correctifs et des certificats est également nécessaire.
Devenir agile
Introduire de la dextérité dans la sécurité est une tâche difficile. En adoptant les principes DevOps lors de la création de protocoles de sécurité, les RSSI peuvent créer une posture de sécurité qui s’intègre parfaitement au développement. Le résultat est un pipeline CI/CD bien équilibré qui utilise des éléments de meilleure qualité.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
