Микросервисы / распределенные системы

Практики безопасности в микросервисах с точки зрения DevOps

Скорее всего после июня вынесу блок по безопасности из курса по проектированию микросервисов в отдельный отднодневный курс, опциональный модуль или вообще запишу серию видео и залью на ютуб всем на радость 🙂 Блок не на массового участника, конечно, под конкретный запрос. По-прежнему в 80% случаев безопасность живет в своем silo и применимость равно как и обозначенная в курсе проблематика безопасности просто не применимы в такой ситуации, да и не встраивается в существующую картину мира, если разработчик или архитектор полностью изолирован от вопросов безопасности.

Одна из основ DevOps – три пути DevOps

Небольой список практик и паттернов из мира DevSecOps, которые крайне полезны, а порой и жизненно необходимы при работе над распределенными системами (хотя будут полезны и сами по себе, конечно).

Практики первого пути (системное мышление, ускорение потока)
– Dev и Ops не ждут безопасность, безопасность – часть повседневной работы
– Использование SAST/DAST c тонкой настройка для снижения false positive
– Внутренняя база знаний с code snippets защищенного кода (как шифруем, как работаем с сертификатами, как экранируем)
– Использование актуальных версий образов
– Параллельный Security Pipeline для глубокого тестирования
– Использование Unit-тестов для проверки сценариев безопасности
– Stop The Line для дефектов безопасности

Практики второго пути (Shift Left, усиление обратной связи)
– Введение роли Security Champion, – ключевой контакт по всем вопросам ИБ в рамках конкретной команды
– Security Checks by Dev&Ops, так как поиск уязвимостей внешними компаниями не повышает навыки сотрудников, повышают периодические совместные проверки безопасности
– Тестирование безопасности на этапе анализа требований и проработки архитектуры решения, в том числе практики моделирования угроз на уровне команд
– Остановка сборки, если обнаружена серьезная уязвимость. Безопасность — часть процесса обеспечения качества.

Практики третьего пути (культура экспериментов и обучения)
– Обучение разработчиков безопасности, так как беза – сложная область знаний и навыков и ей необходимо обучать
– Проведение в командах совместных сессий по взлому (Mob hacking), организуемых Security Champions
– Анализ метрик безопасности, поиск паттернов и реакция на них; метрики безопасности как часть общей Immune System
– Введение практик Security Knowledge Management
– Проведение ретроспектив после инцидентов (Security Postmortems) с проверкой всех сервисов на наличие уязвимостей, подобных обнаруженной

Про какую практику имеет смысл рассказать/записать в первую очередь?

👍7🔥5👏3

www.tgoop.com/microservices_arch/371

1.85K viewsSergey Baranov, edited  Jan 20, 2023 at 08:28

Практики безопасности в микросервисах с точки зрения DevOps

Скорее всего после июня вынесу блок по безопасности из курса по проектированию микросервисов в отдельный отднодневный курс, опциональный модуль или вообще запишу серию видео и залью на ютуб всем на радость 🙂 Блок не на массового участника, конечно, под конкретный запрос. По-прежнему в 80% случаев безопасность живет в своем silo и применимость равно как и обозначенная в курсе проблематика безопасности просто не применимы в такой ситуации, да и не встраивается в существующую картину мира, если разработчик или архитектор полностью изолирован от вопросов безопасности.

Одна из основ DevOps – три пути DevOps

Небольой список практик и паттернов из мира DevSecOps, которые крайне полезны, а порой и жизненно необходимы при работе над распределенными системами (хотя будут полезны и сами по себе, конечно).

Практики первого пути (системное мышление, ускорение потока)
– Dev и Ops не ждут безопасность, безопасность – часть повседневной работы
– Использование SAST/DAST c тонкой настройка для снижения false positive
– Внутренняя база знаний с code snippets защищенного кода (как шифруем, как работаем с сертификатами, как экранируем)
– Использование актуальных версий образов
– Параллельный Security Pipeline для глубокого тестирования
– Использование Unit-тестов для проверки сценариев безопасности
– Stop The Line для дефектов безопасности

Практики второго пути (Shift Left, усиление обратной связи)
– Введение роли Security Champion, – ключевой контакт по всем вопросам ИБ в рамках конкретной команды
– Security Checks by Dev&Ops, так как поиск уязвимостей внешними компаниями не повышает навыки сотрудников, повышают периодические совместные проверки безопасности
– Тестирование безопасности на этапе анализа требований и проработки архитектуры решения, в том числе практики моделирования угроз на уровне команд
– Остановка сборки, если обнаружена серьезная уязвимость. Безопасность — часть процесса обеспечения качества.

Практики третьего пути (культура экспериментов и обучения)
– Обучение разработчиков безопасности, так как беза – сложная область знаний и навыков и ей необходимо обучать
– Проведение в командах совместных сессий по взлому (Mob hacking), организуемых Security Champions
– Анализ метрик безопасности, поиск паттернов и реакция на них; метрики безопасности как часть общей Immune System
– Введение практик Security Knowledge Management
– Проведение ретроспектив после инцидентов (Security Postmortems) с проверкой всех сервисов на наличие уязвимостей, подобных обнаруженной

Про какую практику имеет смысл рассказать/записать в первую очередь?

BY Микросервисы / распределенные системы