Zero
A causa della natura dinamica di DevOps e aziendali “segreti” a cui hanno accesso, fornitore di prodotti di sicurezza CyberArk ha evidenziato l’importanza di assicurare che queste squadre sono protetti dalla minaccia del paesaggio.
Secondo Jeffrey Kok, senior director di progettazione di soluzione per l’Asia Pacifico e Giappone a CyberArk, esponendo DevOps per gli elementi di mezzi privilegiati credenziali dell’account, ad esempio SSH, chiavi, chiavi API, e altre credenziali, si moltiplicano in tutto infrastruttura IT in un fuoco rapido ritmo, creando enormi rischi per la sicurezza per le organizzazioni.
Il CyberArk Advanced Threat Landscape 2018 evidenzia che il 75 per cento di sicurezza intervistati ha riferito la loro organizzazione non ha attuato un account con privilegi soluzione di sicurezza per DevOps.
Questo è potenzialmente problematico quando il 60% degli Sviluppatori intervistati ha detto di store account o password di amministrazione in un documento di una società PC o laptop.
Il 52% degli Sviluppatori intervistati ha detto di fare affidamento sui nativi segreti funzionalità di cloud o DevOps fornitori per essere protetti.
“Questo è potenzialmente rischioso, perché si crea sicurezza silos che sono difficili da gestire con una politica di sicurezza globale”, dice la relazione.
Come gli intervistati sono stati in grado di fornire più di una risposta, il 50% ha anche detto che essi utilizzano un servizio a pagamento segreti soluzione; mentre il 37 per cento ha dichiarato di utilizzare i sistemi creati dal software open-source.
“La maggior parte del tempo i ragazzi di sicurezza get portato in quando le applicazioni stanno per andare a vivere,” Kok detto a ZDNet.
Il 43 per cento degli intervistati ha confermato che il team di sicurezza è sempre messo alla fine di ogni ciclo di sviluppo, con CyberArk notare che questo può essere sufficiente anche solo se la lunghezza di una sprint medie di una settimana o così.
Mentre Kok ha detto che potrebbe sembrare un “po ‘ scoraggiante” per le organizzazioni per portare il talento di sicurezza nel processo di sviluppo in precedenza, una volta che il concetto è abbracciato, ha detto, il risultato finale è una migliore esperienza utente.
“Che è una delle principali lacune”, ha spiegato.
La più efficace strategia di business si domanda che la sicurezza e Sviluppatori di lavorare a stretto contatto, che è il motivo per cui Kok lanciato l’idea di “SecOps”, in cui l’applicazione è stata progettata con l’operazione, ma anche con la sicurezza in mente.
“Security by design”,” Kok ha ribadito. “La strategia più efficace la domanda di sicurezza e Sviluppatori di lavorare a stretto contatto sin dall’inizio e per tutto lo sviluppo, il testing e la distribuzione.”
Il rapporto ha detto che come DevOps è una disciplina relativamente nuova, non è del tutto sorprendente che le persone intervistate riferiscono una mancanza di integrazione tra Sviluppatori e i team di sicurezza.
CyberArk ha detto che mentre la collaborazione varia da industria, è stata rinvenuta la più stretta partnership tra DevOps e la sicurezza sono più spesso si trovano in servizi per i consumatori e la tecnologia e telecomunicazioni segmenti. Per i servizi finanziari alle organizzazioni segnalato leggermente al di sotto della media di collaborazione, e solo il 16 per cento dei sanitari intervistati ha detto loro sicurezza e DevOps squadre erano “ben integrati”.
“Oggi, quando tutto è in cloud, hai un sacco di strumenti di automazione, il DevOps essere ovunque da 5 a 20 strumenti utilizzati e tutti contengono segreti … solo una pausa di tutta la filiera”, ha spiegato. “L’idea è di non avere “isole di sicurezza”.
“Se DevOps possono portare due squadre insieme, perché poi non SecOps basta portare uno in più per il partito”.
Anche se Kok è focalizzata principalmente su APJ regione, ha detto che le questioni sollevate nella relazione di copertura DevOps squadre a livello globale.
Tuttavia, come il APJ regione è un po ‘ più tardi per il DevOps gioco, è più imperativo per la regione di imparare dagli errori degli altri.
“Abbiamo il vantaggio del senno di poi, possiamo evitare le insidie,” ha detto.
Kok ha detto che il rapporto è stato commissionato a seguito di un sacco di déjà vu CyberArk stava vivendo con i clienti preoccupati per la sicurezza della loro organizzazione e dei suoi segreti.
L’indagine è stata condotta per conto di CyberArk di mercato, società di ricerca Vanson Bourne durante i mesi di settembre e ottobre 2017, e ha visto più di 1.000 sicurezza decisori, DevOps, sviluppatore di app professionisti, e la linea di proprietari di affari in sette paesi sondati sulla loro azienda di pratiche.
PRECEDENTE E RELATIVA COPERTURA
Che cosa è DevOps? Un esecutivo a guida agile di sviluppo e le operazioni di
Per rendere la maggior parte di container di oggi, server, macchine virtuali e cloud, è necessario distribuire DevOps nella vostra impresa. O, è possibile lasciare che i tuoi rivali mettere fuori mercato. La scelta è vostra.
DevSecOps: che Cosa è e come può aiutare a innovare la sicurezza informatica
DevSecOps è come DevOps, ma con i principi di sicurezza al forno. Ecco una rapida guida per le basi, e come incorporare nella vostra azienda.
Il tempo di spostarsi da DevOps e continuous delivery, Google dice l’avvocato
CI/CD, DevOps sono così 2007. I responsabili IT e i professionisti hanno bisogno di elevare il loro modo di guidare le loro imprese attraverso dirompente volte.
DevOps: La persona intelligente guida (TechRepublic)
Questa guida completa copre DevOps, sempre più popolari struttura organizzativa per il conseguimento di un rapido distribuzioni di software in azienda.
Argomenti Correlati:
Settore Tech
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0