כיצד לגשר על הפער בין DevOps ל-SecOps כדי לספק מהירות לצד אבטחת מידע?

מאת: סורין בויאנגיו, מהנדס פתרונות ב-F5

אבטחת יישומים מודרניים מפני איומי סייבר הפכה לאחד האתגרים המשמעותיים ביותר של ארגונים בימנו. בעוד ארגונים מתאמצים להדוף את התוקפים, גרטנר צופה כי ההוצאה על אבטחת מידע וניהול סיכונים בעולם תגיע השנה לסכום גבוה מ-150 מיליארד דולר, עליה של 12.4% לעומת שנה שעברה, וזאת למרות ההאטה הכלכלית שנגרמה כתוצאה מהמגפה העולמית.

במהלך העשור האחרון, תחום פיתוח היישומים עבר מהפכה משמעותית, כתגובה לציפיות העסקיות הגבוהות של העולם הדיגיטלי. יותר ממחצית מהארגונים טוענים כי ללא יישומים הם אינם יכולים לפעול. כ-67% מאמינים כי מאמצי טרנספורמציה דיגיטלית, כגון אופטימיזציה של תהליכים עסקיים ומערכות מידע, מזרזים שחרור של מוצרים ושירותים חדשים לשוק. כתוצאה מכך, צוותי פיתוח משתמשים בטכנולוגיות מתקדמות כמו מחשוב ענן ומיקרו-שירותים, בשילוב עם עקרונות DevOps, כדי לקדם חדשנות מהר יותר ולהישאר תחרותיים.

הלחץ להמשיך ולעשות זאת בצורה מאובטחת, הוביל לשינוי הדרגתי של מסגרת ה-DevOps ל-DevSecOps, שבה אבטחת המידע מוצגת מוקדם יותר במחזור החיים של פיתוח התוכנה, בשלב שבו עדיין קיימת גמישות לשינויים. זאת לעומת העבר, בו צוותי ה-SecOps הציגו את פונקציות האבטחה רק בשלבים האחרונים של תהליך הפיתוח והשחרור, דבר שגרם לעיכובים. היה ברור כי שיתוף הפעולה בין הצוותים חייב להשתפר כדי להתאים לשיטות פיתוח אג'יליות יותר.

מדוע השילוב DevSecOps לא תמיד מצליח?

בפועל צוותי הפיתוח והאבטחה שואפים לעבר מטרות שונות. 48% מהמומחים הטכניים סבורים שאבטחת מידע מהווה מכשול מרכזי ליכולת לפתח ולשחרר יישומים במהירות. מצד שני, SecOps וצוותי אבטחת יישומים מתמקדים בבדיקות יסודיות לזיהוי נקודות תורפה, סיכונים פוטנציאליים ועמידה ברגולציה. הם מרגישים שאנשי הפיתוח רצים, והם במיוחד חוששים מקיומם של shadow-IT בערימת היישומים. הם מתקשים לעצור אנשי פיתוח כשהם רצים קדימה במלוא המהירות.

שילוב מוצלח של מושג ה-"Sec" לתוך ה- DevSecOps תלויה בשינוי תרבות, חיזוק המודעות לחשיבות אבטחת המידע והעצמת צוותים בעזרת כלים ואוטומציה שיכולים לאפשר קבלת החלטות חכמות יותר מבלי להאט את הארגון כולו. עקרונית, DevOps וצוותי אבטחה שואפים לייצר מוצר איכותי בזמן. ההבדל טמון באופן שבו הם רגילים למדוד ולהגדיר מה זה אומר הלכה למעשה.

האמת היא שקצב הפיתוח לא יאט בזמן הקרוב. על פי פורסטר, 38% מהמפתחים משחררים גרסאות מדי חודש או מהר יותר, ו -54% מהקונטיינרים 'חיים' במשך 5 דקות או פחות. הצגת אבטחת המידע כישות נפרדת, במקום כתכונה מרכזית שיש להטמיע מקצה לקצה, רק מאטה את התהליכים ומפחיתה את היעילות.

גישור הפער בין מהירות פיתוח לאבטחת מידע

זה הזמן לשנות את אופן יישום אבטחת המידע בקרב צוותי ה-DevOps. אמנה כמה נקודות שחשוב להתמקד בהן לארגונים שמעוניינים להתמקד בכך:

• שילוב אוטומציה באבטחת המידע: השקיעו בפתרונות אבטחת מידע הניתנים להטמעה ישירות בפייפליין ה-CI/CD באמצעות אוטומציה. הדבר מקל על אבטחת היישומים מבלי להקריב את מהירות הפיתוח.
• פיתוח ובדיקת יישומים עם אמצעי בקרת אבטחה מתאימים: לדוגמה, הבטיחו לצוותי DevOps גישה למדיניות מובנית (templated policy) המאפשרת להם להתאים את היישומים שלהם לדרישות האבטחה כבר מההתחלה, מבלי להעמיס זמן מיותר על תהליך הפיתוח.
• צמצום מורכבות אבטחת המידע: הקלו על המפתחים על ידי בחירת פתרונות המספקים תובנות פשוטות להבנה בתוך הפידבק של ה-CI/CD.
• קביעת אבטחת מידע זהה בכל תשתית: אבטחויישומים עם פתרונות המציעים אבטחה קונסיסטנטית ומרכזית, הניתנת בשירות עצמי לכל סביבה.

אבטחת יישומים מודרנית חייבת לשחרר את צוותי ה-DevOps

חלפו הימים שבהם אפשר פשוט להדק את אבטחת המידע בסוף תהליך הפיתוח. אבטחה משולבת חייבת להפוך לחלק בלתי נפרד מכל תהליך יישום DevOps. התאמת אבטחת המידע והפיכתה לפשוטה יותר לצוותי הפיתוח מאפשרת להם להתקדם ללא חשש. במקום צעד כואב נוסף שיש להתמודד אתו, אבטחת יישומים מודרנית יכולה להיות מערכת תמיכה חזקה שמאפשרת לארגונים להגיע ליעדים העסקיים שלהם.