Văn hóa của nhà phát triển và DevOps rất khác so với văn hóa bảo mật. Để thực hiện bảo mật tốt nhất, các yêu cầu bảo mật doanh nghiệp phải phù hợp với văn hóa DevOps. Nếu các nhà phát triển cảm thấy rằng các yêu cầu bảo mật đang làm họ chậm lại, họ sẽ áp dụng các biện pháp mới khác để bảo vệ các tài khoản, thông tin và bí mật đặc quyền. Vì vậy, tốt hơn hết là các nhà phát triển có thể áp dụng các thực tiễn một cách an toàn. Nếu có sự phản hồi về việc thêm các bước vào quy trình hiện có, hãy nhấn mạnh hiệu quả hoạt động có thể đạt được. Ví dụ: quản lý thông tin xác thực đặc quyền theo cách thủ công tốn rất nhiều công sức và đặt trách nhiệm lên nhà phát triển, việc giảm tải công việc này từ các nhóm DevOps sẽ giải phóng thời gian quý báu của họ.
Trong chương này của loạt blog CISO View Insights, chúng tôi sẽ khám phá bốn thực tiễn tốt nhất để thiết lập các yêu cầu doanh nghiệp bảo mật thông tin đăng nhập trong môi trường hiện đại với bảo mật truy cập đặc quyền mạnh mẽ. Những khuyến nghị này dựa trên kinh nghiệm thực tế của CISO từ các tổ chức Toàn cầu 1000.
1. Bắt buộc quản lý bí mật tập trung cho DevOps và đám mây. Thực hiện một hệ thống quản lý bí mật tập trung hoạt động như một trung gian giữa người dùng (cả danh tính người và nặc danh và máy) và cơ sở dữ liệu, tài nguyên, các công cụ khác và các hệ thống quan trọng cần được truy cập. Điều này giúp giữ bí mật của bạn, vì người dùng không bao giờ nhìn thấy thông tin xác thực. Ví dụ: nếu nhà phát triển cần quyền truy cập vào bảng điều khiển đám mây, họ sẽ xác thực hệ thống quản lý bí mật. Hệ thống xác minh rằng họ được ủy quyền và cung cấp quyền truy cập vào bảng điều khiển mà không tiết lộ thông tin đăng nhập đặc quyền.
Hệ thống tập trung này sẽ lưu trữ tất cả các bí mật và thông tin đăng nhập được sử dụng bởi các nhà phát triển và quản trị viên, công cụ và ứng dụng DevOps trong một khu vực chống giả mạo. Nó cũng sẽ cung cấp bảo mật mạnh mẽ, nhiều lớp; từ mã hóa và luân chuyển thông tin xác thực đến tích hợp với xác thực đa yếu tố (MFA). Ngoài ra, giám sát và ghi nhật ký sử dụng giúp người dùng hiểu được trách nhiệm của mình. Để giúp phát hiện các bất thường một cách nhanh chóng, hãy thiết lập đường cơ sở cho các kiểu sử dụng thông thường và cung cấp cho mỗi máy tính nhận dạng duy nhất của riêng nó để dễ dàng kiểm tra và giám sát quyền truy cập vào bí mật của nó.
2.Mở rộng khả năng cho doanh nghiệp để kiểm toán và giám sát. Điều thực sự quan trọng là phải có một bức tranh hoàn chỉnh về người nào có quyền truy cập vào cái gì, và có thể kiểm toán và giám sát truy cập trên toàn bộ môi trường của bạn. Bạn cần phải trả lời các câu hỏi như:
-
Tất cả những thứ "Sam" có quyền truy cập trên toàn doanh nghiệp là gì?
-
Đâu là tất cả các thông tin đặc quyền có thể truy cập vào cơ sở dữ liệu khách hàng? Ai có thể truy cập các thông tin này?
-
Những ứng dụng nào có quyền truy cập vào cơ sở dữ liệu khách hàng? Tại sao Ứng dụng X có trong danh sách?
-
"Mary" gần đây đã rời công ty. Có bất kỳ thông tin nào của cô ấy đã được sử dụng kể từ đó?
-
Các học viên DevOps có đang sử dụng lại mật khẩu Windows đặc quyền cho các mục đích khác không?
-
Loại máy này thường truy cập ba dịch vụ này (a, b, c), vậy tại sao nó chỉ tương tác với dịch vụ "g"?
Ví dụ, giải pháp quản lý bí mật tập trung nên được tích hợp với hệ thống tin cậy cốt lõi, sử dụng máy chủ LDAP/Active Directory để xác thực. Ngoài ra, bạn cần có nhận thức được khi gặp lỗ hổng, mối đe dọa mạng và tích hợp tư thế an ninh mạng với các giải pháp bảo đảm phân tích kiểm soát như Quản lý Sự kiện và Thông tin Bảo mật (SIEM) và Phân tích Hành vi người dùng và thực thể (UEBA).
3. Loại bỏ thông tin đặc quyền khỏi các công cụ và ứng dụng DevOps. Điều quan trọng là bạn phải xóa các bí mật khỏi tất cả các công cụ DevOps, tệp cấu hình, tập lệnh, mã và yêu cầu các bí mật này phải được truy xuất, thay vào đó, từ một khu vực an toàn. Đây là việc phải được ưu tiên làm trước. Bởi vì nó có thể sẽ mất thời gian, mục tiêu thiết yếu này có thể cần phải được hoàn thành trong từng giai đoạn. Chẳng hạn, bạn có thể bắt đầu bằng cách yêu cầu phát triển tất cả các ứng dụng mới để tuân thủ thực tiễn tốt nhất này.
Các khóa truy cập và thông tin đăng nhập trong mã được cam kết đưa vào kho lưu trữ là một lỗi phổ biến và nó đã dẫn đến nhiều vi phạm khai thác tiền điện tử từ những kẻ tấn công. Để đảm bảo rằng các nhà phát triển không thể vô tình cam kết mã, tệp cấu hình hoặc tập lệnh có bí mật đối với kho lưu trữ mã, các bí mật, khóa truy cập đám mây và thông tin xác thực nhạy cảm khác không bao giờ được đưa vào mã. Các tiêu chuẩn này phải được đặt cho cả mã được phát triển nội bộ và bên thứ ba.
4. Phát triển các mô-đun mã có thể tái sử dụng để cung cấp bí mật cho các ứng dụng. Các nhóm bảo mật nên phối hợp chặt chẽ với các đối tác DevOps của họ để xác định cách thức cung cấp bí mật cho các ứng dụng dựa trên yêu cầu ứng dụng và ưu tiên của nhà phát triển. Một số có thể thích các lệnh gọi API, trong đó một ứng dụng thực hiện lệnh gọi API đến một khu vực bí mật sẽ trả lại một bí mật cho ứng dụng. Những người khác có thể thích lan truyền bí mật, trong đó một chương trình trung gian lấy bí mật và đưa chúng vào môi trường ứng dụng. Để hạn chế rủi ro, điều quan trọng là phải đảm bảo rằng, khi các bí mật nằm ngoài khu vực an toàn, chúng sẽ thường xuyên bị xoay vòng. Ví dụ, với tệp bản đồ bộ nhớ, bí mật này sẽ không thể truy cập được khi đã đóng quy trình.
