Continuous Cybersecurity กับความปลอดภัยบน DevOps World

Continuous Cybersecurity กับความปลอดภัยบน DevOps World

 

ผู้ใช้หลายท่านและลูกค้าของ BeyoundTrust ยังคงขยายช่องโหว่ เปิดทางให้เหล่าภัยคุกคามและความเสี่ยงต่างๆเข้ามาและเพิ่มโอกาสที่จะเจอภัยคุกคามมากยิ่งขึ้นในทุกวัน ในบทความนี้จะแสดงให้คุณเห็นว่า “การเปิดใช้งาน DevOps ที่มีความปลอดภัยอย่างแท้จริง และดึงประสิทธิภาพในการทำงานของ BeyoundTrust นั้นควรจะต้องมีวิธีการอย่างไร”

 

DevOps Strategy

 

 

สิ่งสำคัญในการวางแผนการใช้งานและวางกลยุทธ์ให้ครบเครื่องมากที่สุดก็คือ “จะต้องทราบว่าเราวาง Solution ไปผิดจุดหรือไม่ ?” ซึ่งในแต่ละส่วนจะต้องได้รับการยืนยันติดตั้ง รวมไปถึงใบอนุญาตในการเข้าถึงข้อมูลส่วนนั้นอีกด้วย ซึ่งในส่วนนี้จะทำให้การทำงานของ “ผู้พัฒนา” มีความยุ่งยากซับซ้อนมากยิ่งขึ้น ทั้งในด้านของการเขียนโปรแกรม อีกทั้งการลบออกจากการควบคุม PAM และ ทีมดูแลความปลอดภัย (Security Team) อีกด้วย

 

ทาง “BeyoundTrust” จึงวางกลยุทธ์ “Secure Cloud First” ที่มีประสิทธิภาพสูงมากในการทำงานควบคู่ไปกับองค์กรของคุณและพาร์ทเนอร์ รวมไปทั้งการปรึกษาด้านความปลอดภัย และการใช้งาน “DevOps” รวมไปถึงการจัดการความเสี่ยงมีอยู่ให้มีประสิทธิภาพสูงที่สุด ไม่ว่าจะเป็น “การจัดการรหัสผ่าน” และ “การจัดการสิทธิพิเศษต่างๆ”  ซึ่งในปัจจุบันมีลูกค้าที่เลือกใช้ “BeyoundTrust” มากกว่า ล้านผู้ใช้จากทั่วโลกเลยทีเดียว

 

DevOps Security Best Practices

 

ในส่วนนี้จะพูดถึง “แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของ DevOps” จากประสบการณ์ตรงของพวกเราและทีมดูแลระบบความปลอดภัยนี่คือ 7 ข้อที่คุณควรทำ

 

1. ตรวจสอบให้แน่ใจอยู่เสมอว่า “อุปกรณ์ใดภายในระบบ” ที่ได้รับการอนุมัติและไม่ผ่านการอนุมัติ
2. ตรวจสอบให้แน่ใจว่า “มีการจัดการและแก้ไขปัญหาช่องโหว่” ที่เกิดขึ้นได้อย่างเหมาะสมกับลักษณะและแนวทางขององค์กร
3. ตรวจสอบให้แน่ใจว่า “การกำหนดค่า” ของระบบมีความเสถียร และยึดถือไว้เป็นแนวทางฏิบัติที่ชัดเจน
4. กำจัดข้อมูลของฮาร์ดโค้นในสคริปต์ และบัญชีที่สามารถทำให้เกิดช่องโหว่และโดนโจมตีจากภัยคุกคามได้ง่ายยิ่งขึ้น
5. จำกัดสิทธิผู้ใช้ในการเข้าถึงระบบเพื่อป้องกันความเสี่ยงในการเปิดรับความเสี่ยง และการโจมตีที่ง่ายดายยิ่งขึ้น
6. ตั้งค่าให้การแสดงผล รายงานสิ่งที่เกิดขึ้นภายในระบบให้สามารถอ่านได้ง่ายและรวดเร็ว
7. ระบบจะต้องทำงานได้แบบอัตโนมัติอย่างมีประสิทธิภาพ โดยไม่ต้องรอให้ผู้ใช้เข้ามาจัดก่อนเอง เพราะอาจจะล่าช้าจนเกินไป

 

Top DevOps Use Cases

 

โดยระบบจากทำงานผ่านทั้ง 3 Modules

• • PowerBroker Password Safe : เป็นรูปแบบการใช้งานในแบบอุปกรณ์ (ฮาร์ดแวร์หรือซอฟต์แวร์) รวมไปถึงในรูปแบบการทำงานภาพระบบคลาวด์ มีรหัสผ่านความปลอดภัย ซึ่งระบบจะทำการแสกนเครือข่าย รวมไปถึง API ( เช่นที่ถูกจัดเตรียมไว้ใน Test, Staging หรือ Development)  ซึ่งพื้นฐานการทำงานทั้งหมดนี้จะสามารถทำงานได้แบบอัตโนมัติที่มีประสิทธิภาพสูงเลยทีเดียว

 

• • Retina Vulnerability Management : ระบบการสแกนที่ทำการ “ค้นหา” และ “ประเมิน” ภายในเครือข่าย ซึ่งจะสามารถนำผลมาทดสอบแบบ “Virtual เสมือนจริง” เพื่อนำมาพัฒนาหาจุดบกพร่องและเพื่อประสิทธิภาพให้สูงยิ่งขึ้นต่อไป

 

• PowerBroker for Unix & Linux, and PowerBroker for Windows : เป็นตัวแทน (Agent) ในการแก้ไขปัญหา ตัวแทนเหล่านี้จะสามารถจัดปัญหาด้านความปลอดภัยของระบบได้อย่างมีประสิทธิภาพสูงมากเลยทีเดียว

 

Use Case : Asset Discovery & Inventory (การตรวจสอบเครื่องมือ ทรัพย์สิน ที่องค์กรมีอยู่)

Development | Test/Stage | Prod : ระบบจะต้องให้การตรวจสอบทรัพย์สินภายในองค์กรอย่างต่อเนื่อง “ไม่ว่าจะเป็นที่จับต้องได้ จับต้องไม่ได้ และรวมไปถึงภายในระบบคลาวด์อีกด้วย”

Solution : ระบบจากทำการตรวจสอบ ค้นหา และจัดเก็บสิ่งเหล่านั้น ตรวจสอบเพื่อให้มั่นใจว่าทุกอย่างถูกต้องค่าไว้อย่างเหมาะสม และได้รับการอนุมัติการเข้าถึงได้อย่างถูกต้อง

 

Use Case : (Vulnerability Management) การจัดการช่องโหว่ที่เกิดขึ้นภายในองค์กร

Development | Test/Stage | Prod : ระบบจะให้คำแนะนำในการประเมินช่องโหว่ที่เกิดขึ้น รวมไปถึงแนวทางการแก้ไขปัญหา โครงสร้างพื้นฐาน และรหัสผ่าน รวมไปถึงการสร้าง Virtual เสมือนจริงและระบบคราวด์อีกด้วยเช่นเดียวกัน

Solution : ระบบจากสแกน Container instances และ libraries ซึ่งจะเป็นตัวเลือกสำหรับการแสกนแบบออฟไลน์อีกด้วย รวมไปถึงความสามารถในการจัดการพัฒนาและติดตาม Container/Image ให้ทำงานได้เสถียร ไม่เปลี่ยนแปลงไปจากค่าเริ่มต้น

 

Use Case : Configuration Compliance (การจัดการช่องโหว่ที่เกิดขึ้นภายในองค์กร)

Development | Test/Stage | Prod : การกำหนดการตั้งค่าและการตรวจเช็คอย่างต่อเนื่อง คือพื้นฐานของการสร้างความแข็งแกร่งให้กับ “การสแกนขั้นพื้นฐานระหว่างเซิร์ฟเวอร์และโค้ด” ซึ่งจะทำการสร้างผ่าน Asset ที่องค์กรมีผ่านการใช้งาน “Virtual เสมือนจริง และระบบคลาวด์”

Solution : ระบบจะทำงานโดยอัตโนมัติจะช่วยเพิ่มความคล่องตัวในการตรวจสอบและรายงานต่อผลของการตั้งค่าที่เกิดขึ้น ตามแนวทางปฏิบัติและข้อบังคับ ไม่ว่าจะเป็น “FDCC, NIST, STIGS, USGCB, CIS และ Microsoft”

 

 

Reference : www.beyondtrust.com/blog/continuous-cybersecurity-devops-world/