DevOecOps को DevOps: एक DevOps World में सुरक्षा को प्रभावी और परिचालन कैसे बनाया जाए

उद्यम में DevOps की स्थिति क्या है और सुरक्षा तस्वीर में कैसे फिट होती है?

सबसे हाल ही में AWS re: लास वेगास में इन्वेंट कॉन्फ्रेंस, कॉनटिनो के VP ऑफ कंसल्टिंग बेन सॉन्डर्स ने StackRox द्वारा होस्ट किए गए विशेषज्ञों के एक पैनल में चर्चा की कि DevOps उद्यम में कैसे आगे बढ़ रहे हैं, इस बात पर ध्यान देने के साथ कि कैसे DevOps में सुरक्षा अधिक एकीकृत हो जाती है। अभ्यास करते हैं।

हमने नीचे के सत्र में बेन के योगदान से ज्ञान के कुछ मोती निकाले हैं। पूर्ण चर्चा के लिए, जो एंटरप्राइज़ संगठनों द्वारा सामना की गई सुरक्षा और अनुपालन चुनौतियों पर और अधिक कवर करता है, साथ ही साथ DevSecOps में एक गहराई से देखो, BrightTalk को सिर।

एंटरप्राइज़ में DevOps का विकास

इससे पहले कि हम इस बारे में बात कर सकें कि हमें DevSecOps देने के लिए DevOps अभ्यास में सुरक्षा कैसे एकीकृत हो गई है, यह देखना उपयोगी है कि DevOps उद्यम में कैसे विकसित हुआ है।

पिछले दशक में, हमने देखा है कि DevOps आंदोलन डिजिटल प्रयोग में रुकावट के रूप में उद्यम परिवर्तन का एक अभिन्न अंग बनने के लिए, प्रयोग के अपने शुरुआती चरणों से बढ़ता है।

एंटरप्राइज़ संगठनों के लिए चुनौती यह सुनिश्चित करने में है कि देवओप्स को गोद लेने का महत्वपूर्ण और आकर्षक व्यावसायिक मूल्य है। सीधे शब्दों में कहें, अगर आप एक कारण की पहचान करने में असमर्थ हैं कि आपको इस परिवर्तन को शुरू करने की आवश्यकता क्यों है (एक DevOps ऑपरेटिंग मॉडल और अधिक आधुनिक इंजीनियरिंग प्रथाओं के लिए), तो यह बहुत ही तकनीकी विचार बन जाता है - और यदि आप इसके लिए प्रौद्योगिकी अपना रहे हैं प्रौद्योगिकी को अपनाने के लिए, आप आवश्यक रूप से कोई व्यावसायिक मूल्य नहीं जोड़ रहे हैं।

समान रूप से, जब हम संगठनों को संघर्ष करते देखते हैं और शिथिल करना शुरू करते हैं, तो यह अक्सर होता है क्योंकि उन्होंने इस नए ऑपरेटिंग मॉडल के सिद्धांत का विश्लेषण करने में बहुत समय बिताया है, वास्तव में गति बनाए रखने के लिए कुछ भी ठोस देने के बिना।

तो संगठनों को कैसे शुरू करना चाहिए?

प्रकाशस्तंभ परियोजनाओं के साथ अग्रणी

इन चुनौतियों का सामना करते हुए, हम प्रकाशस्तंभ परियोजना का नेतृत्व करना पसंद करते हैं। यह एक विशिष्ट परियोजना है जहां व्यावसायिक मूल्य की पहचान की जाती है और दो या तीन महीनों के लिए समय-बॉक्सिंग किया जाता है और जहां मजबूत केपीआई की एक श्रृंखला उत्पन्न होती है, जो कि सृजित मूल्य को मापने के लिए संरेखित की जाती है।

एक कदम आगे बढ़ते हुए, हम मोमेंटम नामक एक फ्रेमवर्क का उपयोग करते हैं, जो परिवर्तन के हिस्से के रूप में वृद्धिशील कदम उठाने के इस संदेश पर बनाया गया है और लगातार व्यावसायिक परिणामों से जुड़ा हुआ है।

यह प्रयोगात्मक DevOps अपनाने के शुरुआती दिनों से अलग है, जो बिंदु-आधारित समाधान - रिलीज़ ऑटोमेशन, CI प्रथाओं, एम्बेडिंग टेस्ट ऑटोमेशन और इतने पर केंद्रित था। जबकि सभी अलगाव में सुधार के बहुत अच्छे संकेत हैं, वे वास्तव में समग्र परिवर्तन के समर्थक नहीं हैं।

पूर्ण मान स्ट्रीम को एंड-टू-एंड ड्राइविंग करने के बजाय फ़ोकस करने से, आपके पास परिवर्तन करने के तरीके का एक प्रदर्शन संदर्भ मॉडल होगा। इसे व्यावसायिक मैट्रिक्स, KPI और मुख्य परिणामों पर वापस बांधना आपको वास्तव में गोद लेने के पैमाने को एक आकर्षक संदेश देगा।

कम देव-केन्द्रित होना

एक सबसे बड़ा मुद्दा जो हम ग्राहकों के साथ देखते हैं वह यह है कि वे DevOps को एक देव-केंद्रित क्षमता के रूप में देखते हैं और वे उन सभी परिचालन उत्कृष्टता क्षमताओं के बारे में भूल जाते हैं जिन्हें वे उस परिवर्तन के हिस्से के रूप में ला सकते हैं। जब आप सेवा, विश्वसनीयता और ग्राहक-केंद्रितता की स्थिरता के बारे में बात कर रहे हैं, तो सुनिश्चित करें कि आपको एक ऐसा उत्पाद मिला है जो विश्वसनीय है और जो लोग वास्तव में खरीदते हैं वह अविश्वसनीय रूप से महत्वपूर्ण है।

हेरिटेज संगठनों में अखंड एप्लिकेशन आर्किटेक्चर होते हैं, इसलिए आप देख सकते हैं कि माइक्रोसर्विस में जाकर, सेवा घटकों का उपयोग करके, और अधिक क्लाउड-नेटिव इंजीनियरिंग क्षमता बनाने के लिए DevOps दृष्टिकोण के साथ आप उस डायनेमिक को कैसे तोड़ सकते हैं। अधिक स्वचालित रिलीज, कैनरी तैनाती, और इसी तरह। अंत में, सच परिचालन उत्कृष्टता के लिए अनुमति देता है।

देवसेकॉप्स का परिचय: एक प्रथम श्रेणी के नागरिक के रूप में सुरक्षा

सुरक्षा सबकी जिम्मेदारी है - न कि केवल सुरक्षा टीम की जिम्मेदारी। हालांकि, कई उद्यमों को व्यवस्थित रूप से तोड़ा और सिलोस में व्यवस्थित किया जाता है जो इसे प्रबंधित करने के लिए विशेष रूप से कठिन बनाता है।

हम ग्राहकों को क्रॉस-फ़ंक्शनल टीमों का निर्माण करके और यह सुनिश्चित करने में मदद करते हैं कि उनके पास व्यावसायिक कार्यों, उत्पादों और सेवाओं के लिए मैप किए गए एप्लिकेशन फ़ंक्शन हैं। यह सुनिश्चित करना कि सुरक्षा टीम और सुरक्षा इंजीनियरिंग फ़ंक्शन सार्थक रूप से अनुप्रयोग टीम में एम्बेडेड हैं, एक तंग प्रतिक्रिया पाश सुनिश्चित करता है। जिस तरह आप देव और ऑप्स के बीच कड़ी प्रतिक्रिया चाहते हैं, यह भी सुरक्षा के लिए सही है।

सुरक्षा संस्कृति को बदलना

हम साझा समझ और साझा जिम्मेदारी के आधार पर अपने ग्राहकों को सुरक्षा में दोषपूर्ण संस्कृति से आगे बढ़ने के लिए सुनिश्चित करना चाहते हैं। सुरक्षा हैकथॉन को चलाकर हमारे ग्राहकों को यह समझने में मदद करने के तरीकों में से एक।

लोग आमतौर पर सुरक्षा को एक बाहरी मुद्दे के रूप में देखते हैं, यह मानते हुए कि वे केवल बाहरी दुनिया से हमलों के जोखिम में हैं। इस तरह से सोचने के लिए खतरों का प्रदर्शन करने के लिए, हमारी पिछली सुरक्षा हैकथॉन में, हमने प्रत्येक प्रतिस्पर्धी टीम में कई मोल्स को एम्बेड किया, जिससे लोगों को यह समझने में मदद मिली कि आपको सुरक्षा के साथ-साथ आंतरिक क्षमता के रूप में इलाज करने की आवश्यकता है।

उद्योग में हम सबसे बड़ी समस्याओं में से एक है कि सुरक्षा को आमतौर पर एक वास्तुशिल्प समारोह के रूप में देखा जाता है। हमें वास्तव में और अधिक सुरक्षा इंजीनियरों की आवश्यकता है जो समझते हैं कि प्रक्रिया की उस स्पष्टता का निर्माण कैसे किया जाए, स्वचालन को जोड़ना और पाइपलाइनों के माध्यम से काम करना।

AWS की पसंद से लोगों को पेशेवर रूप से प्रमाणित करना यह सुनिश्चित करने का एक साधन है और लोगों को हाथों-हाथ लेने का अवसर है। कीबोर्ड पर लोगों की उंगलियां प्राप्त करना और एक ऐसा साथी होना जो आपकी मदद कर सकता है, वास्तव में महत्वपूर्ण है।

क्लाउड-नेटिव कंप्लायंस

कई संगठन अपने मौजूदा आईटी जोखिम और सुरक्षा नियंत्रणों को लेने की गलती करते हैं, जो संभावित रूप से ऑन-प्रिमाइसेस परिदृश्य में बोझिल होते हैं, और क्लाउड पर 'ट्रांसपोज़िंग' होते हैं। यह समझ के एक पूरे अन्य क्षेत्र का प्रतिनिधित्व करता है जिसे संबोधित करने की आवश्यकता है।

यह चुनौती क्लाउड प्रदाताओं द्वारा प्रदान की जाने वाली उच्च-स्तरीय सेवाओं के प्रभावी प्रावधान में संबोधित की गई है।

उदाहरण के लिए, एडब्ल्यूएस आईएएम के साथ, आपके बुनियादी ढांचे में एक संहिताबद्ध क्षमता के साथ खड़े होने और गैर-आज्ञाकारी घटनाओं को मारने के लिए लैंबडा कार्यों को आमंत्रित करने में सक्षम होने के कारण, सभी आपके द्वारा किए जाने वाले सुरक्षा में एम्बेडेड होने की बात करते हैं। यह एक स्वचालित पहली प्रतिक्रिया सुनिश्चित करता है यदि कोई व्यक्ति व्यावसायिक दृष्टिकोण से जोखिम की भूख पर निर्भर करता है, जो स्वीकार्य माना जाता है, की सीमाओं के बाहर कदम रखने की कोशिश करता है।

ये उच्च-स्तरीय सेवाएं वास्तव में एक सक्रिय स्थिति में काम करती हैं, क्योंकि प्रतिक्रियात्मक रुख के विपरीत और सार्वजनिक क्लाउड में काम करने के तरीके से देवओप्स में जाने से होने वाले लाभ को उजागर करने में मदद करते हैं।

अपनी क्षमताओं का निर्माण करें

जोड़ी गई प्रोग्रामिंग क्षमता सांस्कृतिक परिवर्तन को एम्बेड करने में मदद करने का एक बहुत ही दिलचस्प तरीका है। यह इस बात के मूल में है कि कॉन्टिनो हमारे ग्राहकों के साथ कैसे काम करता है। यह सुनिश्चित करता है कि आपके पास इन-हाउस कौशल है, जो तृतीय-पक्ष आपूर्तिकर्ताओं पर दीर्घकालिक निर्भरता को कम करता है। आप यह तर्क दे सकते हैं कि बड़े प्रबंधित सेवा प्रदाताओं को ग्राहकों को तेज, सस्ता और तेज बनाने के लिए प्रोत्साहित नहीं किया जाता है।

इसलिए एक ग्राहक के रूप में, कॉन्टीनो जैसे एक साथी से कुछ अत्यधिक कुशल संसाधनों को तैनात करना, उन्हें अपनी टीम के साथ जोड़ना और क्रॉस फंक्शनल क्षमताओं को खड़ा करना आपके फोर्सेस को सार्वजनिक क्लाउड में महत्वपूर्ण रूप से जोखिम में डालने का काम करेगा और इस प्रक्रिया को तेजी से आगे बढ़ाता है DevSecOps तरीके काम कर रहे।

अंतिम विचार

यह समझना महत्वपूर्ण है कि आपको क्या अपनाने की आवश्यकता है, आपको क्या अनुकूलित करने की आवश्यकता है और आप किस चीज से छुटकारा पा सकते हैं। ऐसा इसलिए है क्योंकि कई संगठन अभी भी समय-समय पर महत्वपूर्ण परिमाण में ऐसे सामानों पर खर्च कर रहे हैं जो सामान को अपने व्यवसाय में शामिल नहीं कर रहे हैं और सार्वजनिक क्लाउड अपनाने के संदर्भ में दूर किया जा सकता है।

अपने चैंपियन की पहचान करना और संगठन में प्रचारक होना वास्तव में महत्वपूर्ण है। हम तकनीक, सुरक्षा नियंत्रण और मापदंडों को समझने वाले और किसी ऐसे व्यक्ति के बीच एक अच्छा संतुलन बनाने वाला कार्य देखते हैं और ऐसा कोई व्यक्ति जो सभी 'हाथ से लहराते हुए' हो और लोगों को उत्साहित कर सके। यह सांस्कृतिक परिवर्तन का एक महत्वपूर्ण तत्व है। आप लोगों को सशक्त महसूस कराना चाहते हैं। आप चाहते हैं कि वे उन उत्पादों और सेवाओं के बारे में उत्साहित हों जो वे ग्राहकों के लिए ला सकते हैं और सुरक्षित कर रहे हैं।

काम करने के इन नए तरीकों को गले लगाना एक संगठन के रूप में सॉफ़्टवेयर वितरित करने के तरीके में एक नाटकीय कदम-परिवर्तन शुरू करने के लिए बिल्कुल मौलिक है।

पढ़ने के लिए धन्यवाद! फिर, आप यहां पूरी रिकॉर्डिंग पा सकते हैं।

और अगर आपको इस बारे में अधिक पता लगाना है कि Contino आपकी DevOps और DevSecOps आवश्यकताओं के साथ हमारी वेबसाइट पर कैसे सहायता कर सकता है।

यह सभी देखें

किसी वेबसाइट को कोड करने में कितना समय लगता है? क्या एक सफल स्टार्टअप है जिसने अपने एमवीपी को आउटसोर्स किया है? मैं जावा में बिना किसी अनुभव के एंड्रॉइड डेवलपर के रूप में कैसे शुरू करूं? मुझे एंड्रॉइड ऐप कैसे विकसित करना चाहिए? मुझे कौन सी भाषाएं सीखनी चाहिए?मैं सिर्फ मूल जावा सीखता हूं। मैं Android एप्लिकेशन विकास कैसे सीख सकता हूं?वेब विकास आपके व्यवसाय को बढ़ने में कैसे मदद कर सकता है? मुझे अपने व्यवसाय के लिए एक वेबसाइट की आवश्यकता है। मैं अपने शहर की अन्य वेबसाइट बनाने वाली कंपनियों से अनुमान और क्वेरी कैसे प्राप्त कर सकता हूं?मैं एक ऐप कैसे विकसित कर सकता हूं? मेरे पास कई विचार हैं लेकिन मुझे नहीं पता कि कैसे एक को विकसित करना है। मैं एप्लिकेशन को कैसे विकसित कर सकता हूं, चाहे वह निशुल्क हो या भुगतान किया हुआ पाठ्यक्रम हो?