Nul
Vanwege de dynamische aard van DevOps en de business van de “geheimen” ze toegang hebben, leverancier van beveiligingsproducten CyberArk heeft gewezen op het belang van deze teams zijn beschermd tegen de dreiging landschap.
Volgens Jeffrey Kok, senior director van de oplossing engineering voor Azië-Pacific en Japan in CyberArk, het blootstellen van DevOps aan de elementen betekent bevoorrechte account referenties — zoals SSH sleutels, API sleutels en andere referenties — profileren zich de hele IT-infrastructuur op een snelle-het-vuren tempo, het creëren van enorme veiligheidsrisico ‘ s voor organisaties.
De CyberArk Geavanceerde bedreigingen 2018 benadrukt dat 75 procent van de beveiliging van de respondenten hun organisatie niet heeft geïmplementeerd op een bevoorrechte account security oplossing voor DevOps.
Dit is een potentieel probleem wanneer 60 procent van de DevOps de respondenten zei dat ze store bevoorrechte account of administratieve wachtwoorden in een document van een bedrijf PC of laptop.
52 procent van de DevOps de respondenten zei dat ze vertrouwen op de native geheimen functionaliteit van hun cloud of DevOps leveranciers te worden beschermd.
“Dit is potentieel een riskante aanpak, omdat het zorgt voor afzonderlijke beveiliging van silo’ s die moeilijk te beheren met een globaal veiligheidsbeleid,” zegt het rapport.
Als de respondenten konden meer dan één antwoord, 50 procent ook zei ze maken gebruik van een betaalde geheimen oplossing; terwijl 37 procent zei dat ze gebruik maken van systemen die zijn gebouwd van open-source software.
“De meeste van de tijd van de veiligheid jongens krijgen gebracht als de toepassingen zijn gaan wonen,” Kok vertelde ZDNet.
43 procent van de respondenten bevestigde dat de security team is altijd gebracht aan het einde van elke ontwikkeling cyclus, met CyberArk merken dit kan voldoende zijn, alleen als de lengte van een sprint is gemiddeld een week of zo.
Terwijl de Kok zei: het lijkt misschien een “beetje ontmoedigend” voor organisaties om de beveiliging van talent in het ontwikkelingsproces eerder, zodra het concept omarmd, zei hij, het eind resultaat is een veel betere gebruikerservaring.
“Dat is een van de belangrijkste lacunes,” legde hij uit.
De meest effectieve business strategie zal eisen dat de veiligheid en DevOps werken nauw samen, dat is de reden waarom de Kok gooide het idee van “SecOps” — waar de applicatie is ontworpen met de operatie, maar ook met veiligheid in het achterhoofd.
“Security by design,” Kok herhaald. “De meest effectieve strategie zal eisen dat de veiligheid en DevOps werken nauw samen vanaf het begin en gedurende de ontwikkeling, het testen en implementatie.”
Het rapport zei dat als DevOps is een relatief nieuwe discipline, het is niet geheel verwonderlijk dat de respondenten melding van een gebrek aan integratie tussen DevOps en security teams.
CyberArk zei dat terwijl de samenwerking varieert door de industrie, werd de dichter van partnerschappen tussen DevOps en veiligheid zijn het meest vaak gevonden in consumer services en technologie en telecommunicatie segmenten. De organisaties die financiële diensten aanbieden gemeld iets beneden het gemiddelde samenwerking, en slechts 16 procent van de gezondheidszorg de respondenten zegt dat hun veiligheid en DevOps teams waren “goed geïntegreerd”.
“Vandaag de dag, wanneer alles op de cloud en je hebt veel van automatisering tools, de DevOps ergens van 5-20 instrumenten die worden gebruikt en alle van hen bevatten geheimen … één zal breken de hele keten,” legde hij uit. “Het idee is om geen ‘eilanden van zekerheid’.
“Als DevOps kan brengen twee teams samen, waarom dan niet SecOps breng een meer in de partij.”
Hoewel Kok is vooral gericht op de APJ regio, zei hij dat de kwesties die in het verslag dekking van DevOps teams wereldwijd.
Echter, als het APJ regio is een beetje later naar de DevOps spel, het is meer noodzakelijk voor de regio te leren van de fouten van anderen.
“We hebben het voordeel dat wij achteraf kunnen de valkuilen te vermijden,” zei hij.
Kok zei dat het rapport werd in opdracht veel van déjà vu CyberArk had te kampen met klanten die bezorgd waren over de veiligheid van hun organisatie geheimen.
Het onderzoek werd uitgevoerd in opdracht van CyberArk door het markt-onderzoeksbureau Vanson Bourne in September en oktober 2017, en zag meer dan 1000 IT-beveiliging beleidsmakers, DevOps, app-ontwikkelaar professionals en eigenaren van bedrijven in zeven landen onderzocht op hun bedrijf praktijken.
VORIGE EN AANVERWANTE DEKKING
Wat is DevOps? Een executive gids voor agile development en IT operations
Om de meeste van de huidige containers, servers, virtual machines, en de wolken, die u nodig hebt om te implementeren DevOps in uw onderneming. Of, u kunt uw rivalen uw bedrijf. Het is jouw keuze.
DevSecOps: Wat het is en hoe het u kan helpen innoveren op het gebied van cyberbeveiliging
DevSecOps is als DevOps, maar met zekerheid principes gebakken in. Hier is een kort overzicht van de basis, en hoe deze te integreren in uw bedrijf.
Tijd om over te gaan van DevOps en doorlopende levering, zegt Google advocaat
CI/CD, DevOps zijn zo 2007. IT-managers en-professionals nodig hebben om te verheffen hun denken aan het begeleiden van hun bedrijven door middel van disruptive times.
DevOps: De smart person ‘ s guide (TechRepublic)
Deze uitgebreide gids omvat de DevOps, een steeds populairder wordende organisatorische structuur voor het leveren van snelle software-implementaties in de onderneming.
Verwante Onderwerpen:
Tech Industrie
Beveiliging TV
Data Management
CXO
Datacenters
0