DevSecOps kombinuje procesy, automatizaci a řízení do jednotného provozního modelu. I když nástroje hrají důležitou roli, úspěch skutečně závisí na tom, jak je týmy používají ve vývojových a cloudových prostředích. DevSecOps je proto stejně tak o způsobu uvažování jako o technologiích.
Na úrovni platformy poskytuje CNAPP jednotnou páteř, o kterou se týmy DevSecOps opírají. Propojuje správu stavu zabezpečení, skenování infrastruktury jako kódu (IaC), ochranu úloh,
zabezpečení kontejnerů, správu vystavení rizikům a správu identit do průběžného modelu zabezpečení.
Mezi základní součásti strategie DevSecOps patří:
- Postupy bezpečného kódování. Vývojáři vytvářejí řešení s bezpečností zahrnutou už v návrhu a používají schválené knihovny, zabezpečená úložiště a ochranu integrovaného vývojového prostředí, která snižuje riziko u zdroje.
- Automatizace a integrace CI/CD. Bezpečnostní kontroly běží v kanálech průběžně, včetně skenování kódu, analýzy závislostí, podepisování artefaktů a ověřování zásad.
- Správa identit a přístupu. Přístup s nejnižšími oprávněními napříč úložišti, kanály, cloudovými prostředky a účty služeb omezuje zneužití identit a laterální pohyb.
- Dodržování předpisů a zásady správného řízení. Zásady jako kód vynucují standardy sladěné s rámci, jako jsou Mezinárodní organizace pro normalizaci (ISO), System and Organization Controls (SOC) a National Institute of Standards and Technology (NIST), a podporují připravenost na audit.
- Průběžné monitorování. Ovládací prvky po nasazení detekují zranitelnosti, odchýlení konfigurace a hrozby za běhu.
- Spolupráce a kultura. Zabezpečení se stává sdílenou odpovědností napříč vývojovými, provozními a bezpečnostními týmy.
DevSecOps vyžaduje silnou správu identit, disciplínu v oblasti stavu zabezpečení cloudu a ovládací prvky, které chrání vývoj založený na lidech i strojích.
Správa identit napříč kanály je základním prvkem. Účty služeb, agenti a automatizační skripty často mají zvýšená oprávnění. Bez vynucování nejnižších oprávnění se tyto identity stávají hodnotnými cíli. DevSecOps používá řízení
přístupu na základě rolí, přístup just-in-time a průběžné monitorování přihlašovacích údajů napříč úložišti, kanály a cloudovými prostředky. Tajné kódy se ukládají do spravovaných trezorů, nikoli přímo do kódu. Zásady přístupu se spravují ve verzích a kontrolují stejně jako kód aplikace.
Ovládací prvky stavu zabezpečení cloudu zajišťují, že infrastruktura zůstává sladěná s definovanými základními úrovněmi zabezpečení. Šablony infrastruktury jako kódu se před nasazením vyhodnocují vůči zásadám. Po nasazení průběžné monitorování stavu zabezpečení detekuje odchýlení konfigurace, nadměrná oprávnění, veřejné zpřístupnění a nezabezpečená síťová pravidla napříč multicloudovými prostředími.
Ochrana zabezpečených úložišť a integrovaných vývojových prostředí snižuje riziko v nejranější fázi. Ochrana úložišť blokuje zveřejněné tajné kódy a zranitelné závislosti před sloučením. Rozšíření integrovaného vývojového prostředí poskytují vývojářům při psaní kódu bezpečnostní zpětnou vazbu v reálném čase, což snižuje následnou náročnost nápravy.
V éře AI DevSecOps řeší také
zabezpečení dodavatelského řetězce modelů a datových sad. Týmy ověřují zdroje trénovacích dat, ověřují integritu modelů prostřednictvím podepisování artefaktů a monitorují neoprávněné zásahy v registrech modelů. Správa se vztahuje i na kód generovaný AI. Automatizované kontroly a kontroly zásad zajišťují, aby generovaný výstup splňoval bezpečnostní standardy.
Sledujte zabezpečení od Microsoftu