La nouvelle priorité des entreprises : La rapidité de mise sur le marché
Ia rapidité de développement ne semble peut-être pas aussi importante que la sécurité pour les équipes chargées de la sécurité informatique, mais dans le marché actuel, qui évolue rapidement et qui est innovant, la rapidité est essentielle pour réussir.
Au-delà de l'énorme avantage du premier arrivé sur le marché, les consommateurs de technologie (qu'il s'agisse de technologie B2C ou B2B) s'attendent à des mises à jour régulières et rapides pour répondre à leur insatiable appétit d'innovation. Et ils sont prêts à changer de fournisseur s'ils n'obtiennent pas ce qu'ils attendent.
Ce paysage a mis une pression incroyable sur les équipes d'ingénieurs pour qu'elles fournissent plus, plus rapidement. Après des années de transition vers de nouvelles développementtelles que DevOps et l'intégration continue/livraison continue (CI/CD), et l'introduction de nouvelles technologies pour répondre à cette demande, les équipes d'ingénieurs sont enfin bien placées pour livrer à la vitesse nécessaire. Il ne reste plus qu'un seul problème : la sécurité.
Les équipes InfoSec prennent position
Alors que les équipes d'ingénieurs accumulaient la vitesse nécessaire pour fournir plus, plus vite, un obstacle est apparu sous la forme de la sécurité. Il existe nombreux défis entre développeurs et les équipes de sécurité, maismais mais l'un des mais l'un des points douloureux qui revient le plus souvent est la lutte pour la gestion des secrets, tels que les secrets cryptographiques et les certificats X.509 dans les environnements DevOps.
La plupart des entreprises utilisent aujourd'hui l'infrastructure à clé publique (PKI) pour émettre des certificats X.509 certificats qui permettent de protéger les données sensibles, signer un codeet connecter les utilisateurs finaux aux applications en toute sécurité. Cela signifie qu'une grande partie de ce que les équipes d'ingénieurs construisent nécessite l'utilisation de la norme X.509 X.509 en DevOps et les opérations multi-cloud pour authentifier les communications.
Malheureusement, la plupart des équipes d'ingénieurs ont constaté que le processus pour demander l'autorisation d'utiliser la norme X.509 X.509 en DevOps auprès de l'équipe PKI ou InfoSec, sans parler des activités de gestion tout au long du cycle de vie du certificat, sont des processus lents et manuels. Dans un monde axé sur la rapidité, cela ne fonctionne pas.
Pour éviter ce ralentissement, de nombreuses équipes d'ingénieurs émettent leurs propres certificats par le biais d'outils familiers comme AWS Certificate Manager, Azure Key Vault, Kubernetes, etc. comme AWS Certificate Manager, Azure Key Vault, Kubernetes et HashiCorp. HashiCorp Vault. CesCes outils puissants peuvent être être utilisés pour améliorer la sécuritémais dans de nombreux cas, ils sont utilisés d'une manière qui contourner les politiques de sécurité et de sécurité et créent des lacunes en matière de visibilité, de sorte que de sorte que bon nombre des certificats qui en résultent ne sont pas conformes à la politique de sécurité. ne sont pas conformes aux normes de sécurité de l'entreprise.
Les équipes InfoSec Les équipes chargées de réduire les risques mettent souvent en place des processus pour diriger ingénieurs à travers des plus contrôleedmais plus lent demande manuelle de certificat pipelines. Si leurs efforts visent à renforcer la sécurité, ils ralentissent aussi considérablement les équipes d'ingénieurs qui s'efforcent d'accélérer les processus de développement. Aujourd'hui, les deux équipes sont souvent en désaccord.
Comment les équipes InfoSec peuvent-elles maintenir la sécurité sans rendre les ingénieurs fous ?
Malgré les défis existants, les équipes InfoSec peuvent prendre certaines mesures pour satisfaire simultanément les besoins de rapidité et de sécurité - et cesser ainsi de rendre les équipes d'ingénierie folles.
Au lieu de mettre un frein à tout ce que les équipes d'ingénieurs ont fait pour acquérir la vitesse nécessaire, les équipes InfoSec devraient s'associer à leurs homologues ingénieurs pour trouver une solution qui convienne aux deux équipes. Pour ce faire, les équipes InfoSec peuvent prendre les mesures suivantes :
- Comprendre le point de vue des ingénieurs : Pour commencer, les équipes InfoSec doivent comprendre toute l'étendue de la situation actuelle. Cela implique de reconnaître que les équipes d'ingénieurs doivent agir rapidement et que nombre d'entre elles ne se soucient guère de l'origine des certificats et des politiques auxquelles ils se conforment, tant qu'elles disposent de ce dont elles ont besoin pour continuer à avancer à toute vitesse. En d'autres termes, les équipes d'ingénieurs n'essaient pas délibérément de contourner les politiques de sécurité en émettant leurs propres certificats, elles essaient simplement de maintenir une certaine vitesse de développement.
- Identifier les outils et les processus utilisés par les ingénieurs : Ensuite, les équipes InfoSec doivent déterminer exactement comment leurs équipes d'ingénieurs émettent les certificats X.509 certificats dans DevOps (en supposant qu'elles le fassent elles-mêmes). Cette étape devrait fournir des indications sur les outils et les processus dans lesquels les protocoles de sécurité devront s'intégrer afin de ne pas perturber tout ce que l'équipe d'ingénierie a construit.
- Introduire des contrôles en amont dans les processus de libre-service existants : La meilleure façon d'avancer pour les équipes InfoSec est de s'intégrer dans les architectures d'ingénierie existantes. Pour ce faire, il faut introduire une solution PKI qui offre les contrôles dorsaux nécessaires à la sécurité et à la visibilité tout en s'intégrant dans les outils et processus d'ingénierie en amont. Idéalement, cette approche devrait permettre aux ingénieurs de poursuivre leurs activités habituelles, en émettant leurs propres certificats à la demande, selon les besoins, tout en offrant aux équipes chargées de la sécurité informatique des niveaux élevés de contrôle en amont, qui dictent l'origine de ces certificats et qui fournissent une visibilité centralisée de tous les certificats émis.
- Automatiser la gestion des certificats pour éviter les pannes et les ralentissements: Enfin, les équipes InfoSec devraient utiliser la même solution PKI pour automatiser la gestion des certificats. Cette automatisation permet aux équipes InfoSec de gérer des centaines de milliers de certificats X.509 certificats en DevOps plus efficacement afin de mieux suivre l'augmentation du volume et de la vitesse à laquelle ils sont émis. En retour, cela permet aux équipes InfoSec de continuer à éviter les les ralentissements tout au long du cycle de vie des certificats et d'en émettre de nouveaux si nécessaire pour éviter les pannes.
Vitesse et sécurité peuvent coexister, et les équipes InfoSec doivent montrer la voie
Bien que la vitesse et la sécurité semblent s'opposer dans les entreprises d'aujourd'hui, elles sont toutes deux essentielles à la réussite. Heureusement, InfoSec et les équipes d'ingénieurs n'ont plus n'ont plus à n'ont plus à se battre pour faire passer une priorité avant l'autre, car il existe désormais des solutions qui peuvent satisfaire les deux besoins.
La voie à suivre consiste à introduire des contrôles en amont pour les outils et les processus d'ingénierie, ainsi qu'à automatiser la délivrance des permis de conduire. l'émission automatisée de certificats X.509 dans les processus DevOps de DevOps. Ce faisant, les équipes InfoSec disposent de la supervision et de la visibilité nécessaires pour maintenir la sécurité sans perturber l'architecture que les équipes d'ingénieurs ont construite pour augmenter la vitesse de développement.
Il est essentiel que les équipes chargées de la sécurité informatique ouvrent la voie en s'associant à leurs équipes d'ingénieurs pour mener ces discussions et mettre en place les solutions nécessaires.
Prêt à en savoir plus sur ce qu'il faut faire ? Cliquez ici pour télécharger l'eBook La sécurité à la vitesse de DevOps : comment la sécurité et DevOps peuvent collaborer pour atténuer les risques