ProHoster > Blog > fitantanan-draharaha > DevOps vs DevSecOps: tahaka ny ahoana izany tao amin'ny banky iray

DevOps vs DevSecOps: tahaka ny ahoana izany tao amin'ny banky iray

DevOps vs DevSecOps: tahaka ny ahoana izany tao amin'ny banky iray

Ny banky dia manolotra ny tetikasany amin'ny mpandraharaha maro. Manorata kaody "Externals", avy eo ampita amin'ny endrika tsy dia mety loatra ny valiny. Amin'ny ankapobeny, toy izao ny fizotrany: nanolotra tetikasa iray izay nandalo fitsapana fampiasa amin'izy ireo izy ireo, ary avy eo nosedraina tao anatin'ny faritry ny banky mba hampidirana, enta-mavesatra, sy ny sisa. Hita matetika fa tsy nahomby ny fitsapana. Avy eo dia niverina tany amin'ny developer ivelany ny zava-drehetra. Araka ny azonao eritreretina, izany dia nidika fotoana elaela ho an'ny fanamboarana bug.

Nanapa-kevitra ny banky fa azo atao ary ilaina ny misintona ny fantsona manontolo eo ambanin'ny elany, manomboka amin'ny fanoloran-tena ka hatramin'ny famoahana. Mba hitovy ny zava-drehetra ary eo ambany fifehezan'ny ekipa tompon'andraikitra amin'ny vokatra ao amin'ny banky. Izany hoe, toy ny hoe niasa fotsiny teo amin'ny efitrano manaraka ny birao ilay mpandraharaha ivelany. Eo amin'ny sehatry ny orinasa. Izany dia devops tsotra.

Avy aiza ny Sec? Ny fiarovana ny banky dia nametraka fitakiana lehibe momba ny fomba ahafahan'ny mpandraharaha ivelany miasa ao amin'ny sehatry ny tambajotra, ny fidirana ananan'ny olona iray, ny fomba ary iza no miasa miaraka amin'ny code. Soa ihany fa tsy mbola fantatr'i IB fa rehefa miasa any ivelany ny mpandraharaha dia vitsy ny fenitry ny banky no arahina. Ary ao anatin'ny roa andro dia mila manomboka mandinika azy ireo ny rehetra.

Ny fanambarana tsotra fa ny mpiantoka dia manana fidirana feno amin'ny kaody vokatra dia efa nampivadika ny tontolony.

Amin'izao fotoana izao, nanomboka ny tantaran'ny DevSecOps, izay tiako holazaina aminao.

Inona no fehin-kevitra azo ampiharina notsoahin’ny banky tamin’io toe-javatra io?

Be ny resabe momba ny hoe tsy mety ny fomba rehetra. Nilaza ny mpamorona fa variana mitady hanelingelina ny fampandrosoana fotsiny ny fiarovana, ary izy ireo, toy ny mpiambina, dia miezaka mandrara tsy mieritreritra. Ho setrin'izany, ny manam-pahaizana momba ny fiarovana dia nisalasala teo amin'ny fisafidianana eo amin'ny fomba fijery: "ny mpamorona dia mamorona vulnerabilities ao amin'ny faritra misy antsika" ary "ny mpamorona dia tsy mamorona vulnerabilities, fa izy ireo ihany." Nitohy nandritra ny fotoana ela ny fifandirana raha tsy noho ny fitakiana tsena vaovao sy ny fipoiran'ny paradigma DevSecOps. Azo natao ny nanazava fa ity automatique ity amin'ny fizotran'ny fitakiana fiarovana amin'ny fampahalalam-baovao "tsy anaty boaty" dia hanampy ny rehetra hijanona ho sambatra. Amin'ny heviny hoe voasoratra avy hatrany ny fitsipika ary tsy miova mandritra ny lalao (ny fiarovana ny vaovao dia tsy mandrara zavatra tsy ampoizina), ary ny mpamorona dia mitazona ny fampahafantarana momba ny zava-mitranga rehetra (ny fiarovana ny fampahalalana dia tsy mahita zavatra tampoka) . Ny ekipa tsirairay koa dia tompon'andraikitra amin'ny fiarovana farany, fa tsy ny rahalahy zokiolona sasany.

  1. Koa satria ny mpiasa any ivelany dia efa manana fahafahana miditra amin'ny fehezan-dalàna sy rafitra anatiny maromaro, azo esorina amin'ny antontan-taratasy ny fepetra "tsy maintsy tanterahina tanteraka amin'ny fotodrafitrasa ao amin'ny banky ny fampandrosoana."
  2. Etsy andaniny, mila manamafy ny fanaraha-maso ny zava-mitranga isika.
  3. Ny marimaritra iraisana dia ny fananganana ekipa mifanentana, izay ahafahan'ny mpiasa miasa akaiky amin'ny olona ivelany. Amin'ity tranga ity, mila mahazo antoka ianao fa miasa amin'ny fitaovana amin'ny lohamilin'ny banky ny ekipa. Hatramin'ny voalohany ka hatramin'ny farany.

Izany hoe, azo avela hiditra ny mpiantoka, saingy mila omena fizarana misaraka. Mba tsy hitondran'izy ireo karazana otrikaretina avy any ivelany any amin'ny fotodrafitrasa ao amin'ny banky ary mba tsy hahitany mihoatra noho izay ilaina. Eny ary, mba ho voarakitra an-tsoratra ny fihetsik'izy ireo. DLP ho fiarovana amin'ny fivoahana, dia nampidirina izany rehetra izany.

Amin'ny ankapobeny, ny banky rehetra dia tonga amin'izany na ho ela na ho haingana. Eto izahay dia nidina tamin'ny lalana voadaroka ary nifanaraka tamin'ny fepetra takiana amin'ny tontolo toy izany izay iasan'ny "ivelany". Nahitana fitaovana fanaraha-maso ny fidirana, fitaovana fanaraha-maso vulnerable, famakafakana anti-virus amin'ny faritra, fivoriambe ary fitsapana. Ity dia antsoina hoe DevSecOps.

Tampoka teo dia nanjary nazava fa raha talohan'ny DevSecOps fiarovana banky dia tsy nahafehy ny zava-mitranga eo amin'ny lafiny developer, dia ao amin'ny paradigma vaovao fiarovana dia fehezina toy ny zava-nitranga mahazatra eo amin'ny foto-drafitrasa. Izao vao misy fanairana momba ny fivoriambe, ny fanaraha-maso ny tranomboky, sy ny sisa.

Ny hany sisa tavela dia ny famindrana ireo ekipa amin'ny modely vaovao. Eny ary, mamorona ny fotodrafitrasa. Saingy zava-poana ireo, toy ny manao vorondolo. Raha ny marina dia nanampy tamin'ny fotodrafitrasa izahay, ary tamin'izany fotoana izany dia niova ny fizotran'ny fampandrosoana.

Inona no niova

Nanapa-kevitra ny hampihatra izany amin'ny dingana kely izahay, satria takatsika fa maro ny dingana hirodana, ary maro ny "ivelany" mety tsy hahazaka ny fepetra vaovao eo ambany fanaraha-mason'ny rehetra.

Voalohany, namorona ekipa mifanentana izahay ary nianatra nandamina tetikasa tamin'ny fitakiana fepetra vaovao. Amin'ny heviny ara-pandaminana no nifanakalozan-kevitra momba ny dingana. Ny vokatr'izany dia ny sarin'ny fantsona fivoriambe miaraka amin'ireo tompon'andraikitra rehetra.

  • I C: Git, Jenkins, Maven, Roslyn, Gradle, jUnit, Jira, MF Fortify, CA Harvest, GitlabCI.
  • CD: Ansible, Puppet, TeamCity, Gitlab TFS, Liquidbase.
  • fitsapana: Sonarqube, SoapUI, jMeter, Selenium: MF Fortify, Performance Center, MF UFT, Ataccama.
  • fanolorana (tatitra, serasera): Grafana, Kibana, Jira, Confluence, RocketChat.
  • asa (fikojakojana, fitantanana): Ansible, Zabbix, Prometheus, Elastic + Logstash, MF Service Manager, Jira, Confluence, MS Project.

Stack voafantina:

  • Toby fahalalana - Atlassian Confluence;
  • Mpanaraka asa - Atlassian Jira;
  • Ny tahiry artifact - "Nexus";
  • Rafitra fampidirana mitohy - "Gitlab CI";
  • Rafitra fanadihadiana mitohy - "SonarQube";
  • Rafitra fanadihadiana momba ny fiarovana ny fampiharana - "Micro Focus Fortify";
  • Rafitra fifandraisana - "GitLab Mattermost";
  • Rafitra fitantanana Configuration - "Ansible";
  • Rafitra fanaraha-maso - "ELK", "TICK Stack" ("InfluxData").

Nanomboka namorona ekipa iray izy ireo izay vonona ny hisintona ireo mpiantoka ao anatiny. Misy ny fahatsapana fa misy zava-dehibe maromaro:

  • Tokony hiray hina ny zava-drehetra, fara faharatsiny rehefa mampita kaody. Satria betsaka ny mpiantoka noho ireo dingana fampandrosoana maro samihafa izay manana ny mampiavaka azy. Tena nilaina ny nampifandraisina tamin'ny olona iray teo ho eo, saingy nisy safidy.
  • Betsaka ny mpandraharaha, ary tsy mety ny famoronana fotodrafitrasa amin'ny tanana. Ny asa vaovao rehetra dia tokony hatomboka haingana - izany hoe, ny ohatra dia tokony hapetraka saika eo no ho eo mba hananan'ny mpamorona vahaolana hitantana ny fantsona.

Mba hanaovana ny dingana voalohany, dia ilaina ny mahatakatra ny zavatra natao. Ary tsy maintsy nanapa-kevitra ny fomba hahatongavana any izahay. Nanomboka tamin'ny fanampiana tamin'ny fanaovana sary ny maritrano ny vahaolana kendrena amin'ny fotodrafitrasa sy ny automation CI/CD. Avy eo dia nanomboka nanangona ity conveyor ity izahay. Nila fotodrafitrasa iray izahay, mitovy ho an'ny rehetra, izay ahafahan'ny conveyor mitovy. Nanolotra safidy miaraka amin'ny kajikajy izahay, nieritreritra ny banky, avy eo dia nanapa-kevitra ny haorina sy ny vola.

Manaraka izany dia ny famoronana ny circuit - fametrahana rindrambaiko, configuration. Famolavolana script ho an'ny fametrahana sy fitantanana fotodrafitrasa. Manaraka izany dia ny fifindrana mankany amin'ny fanohanana conveyor.

Nanapa-kevitra ny hitsapa ny zava-drehetra amin'ny mpanamory izahay. Mahavariana fa tamin'ny fandalovan'ny mpanamory dia sambany niseho tao amin'ny banky ny antontam-bato iray. Ankoatra ny zavatra hafa, ny mpivarotra an-trano iray amin'ireo vahaolana dia natolotra ho an'ny sehatry ny mpanamory ho an'ny fandefasana haingana. Nahafantatra azy ny mpitandro ny filaminana teo am-piaingana, ary namela fahatsapana tsy hay hadinoina izany. Rehefa nanapa-kevitra ny hiova izahay, soa ihany fa nosoloina vahaolana Nutanix ny sosona fotodrafitrasa, izay efa tao amin'ny banky taloha. Ankoatr'izay, talohan'izay dia natao ho an'ny VDI izy io, saingy nampiasainay tamin'ny serivisy fotodrafitrasa. Amin'ny boky kely dia tsy mifanaraka amin'ny toe-karena, fa amin'ny boky lehibe dia lasa tontolo tena tsara ho an'ny fampandrosoana sy ny fitsapana.

Ny ambiny amin'ny stack dia fantatry ny rehetra na tsy dia mahazatra loatra. Fitaovana automatique tao Ansible no nampiasaina, ary niara-niasa akaiky tamin'izy ireo ny manam-pahaizana manokana momba ny fiarovana. Ny Atlassin stack dia nampiasain'ny banky talohan'ny tetikasa. Fitaovam-piarovana Fortinet - natolotry ny mpitandro ny filaminana mihitsy. Ny rafitra fitsapana dia noforonin'ny banky, tsy misy fanontaniana napetraka. Nametraka fanontaniana ny rafitra fitahirizana; Tsy maintsy nizatra tamin'izany aho.

Nomena stack vaovao ny mpandraharaha. Nanome fotoana anay hanoratana izany ho an'ny GitlabCI izy ireo, ary hamindra an'i Jira ho any amin'ny sehatry ny banky, sy ny sisa.

tsikelikely

Stage 1. Voalohany, nampiasa vahaolana avy amin'ny mpivarotra an-trano izahay, ny vokatra dia mifandray amin'ny fizarana tambajotra DSO vaovao noforonina. Ny sehatra dia nofidina noho ny fotoana fanaterana azy, ny fahafahan'ny scaling ary ny mety hisian'ny automation feno. Nanatanteraka fitsapana:

  • Ny mety hisian'ny fitantanana mora sy mandeha ho azy tanteraka amin'ny fotodrafitrasa sehatra virtoaly (tambajotra, subsystem disk, subsystem resource computing).
  • Automation ny fitantanana ny fiainan'ny milina virtoaly (templating, snapshots, backups).

Taorian'ny fametrahana sy ny fanamafisam-peo fototra amin'ny sehatra, dia nampiasaina ho toerana fametrahana ny subsystems dingana faharoa (fitaovana DSO, drafitra fampandrosoana ny rafitra varotra). Noforonina ny andiana fantsona ilaina - famoronana, famafana, fanovana, backup ny milina virtoaly. Ireo fantsona ireo dia nampiasaina ho dingana voalohany amin'ny dingan'ny fametrahana.

Ny vokatr'izany dia tsy mahafeno ny fepetra takian'ny banky amin'ny fandeferana sy ny fandeferana ny fitaovana omena. Ny DIT an'ny banky dia nanapa-kevitra ny hamorona complexe mifototra amin'ny fonosana rindrambaiko Nutanix.

Stage 2. Noraisinay ny stack izay nofaritana, ary nanoratra automatique installation sy post-configuration scripts ho an'ny subsystem rehetra mba hafindra haingana araka izay azo atao ny zava-drehetra avy amin'ny mpanamory mankany amin'ny faritra kendrena. Ny rafitra rehetra dia napetraka amin'ny fanefena mandefitra amin'ny fahadisoana (izay tsy voafetran'ny politikan'ny fanomezan-dàlana an'ny mpivarotra io fahaiza-manao io) ary mifandray amin'ny metrika sy subsistema fanangonana hetsika. Nanadihady ny fanarahan-dalàna ny IB ary nanome ny jiro maitso.

Stage 3. Fifindra-monina ny subsystems rehetra sy ny toe-javatra ao amin'ny PAC vaovao. Nosoratana indray ny script automation infrastructure, ary vita tamin'ny fomba mandeha ho azy tanteraka ny fifindra-monina ny subsystems DSO. Noforonin'ny fantsonan'ny ekipan'ny fampandrosoana ny lamin'ny fampandrosoana IP.

Stage 4. Automation ny fametrahana rindrambaiko fampiharana. Ireo asa ireo dia napetraky ny mpitarika ny ekipan'ny ekipa vaovao.

Stage 5. Fanararaotana.

Fidirana lavitra

Ny ekipan'ny fampandrosoana dia nangataka ny fahafaha-manatsara indrindra amin'ny fiaraha-miasa amin'ny faritra, ary ny fepetra takiana amin'ny fidirana lavitra avy amin'ny solosaina findainy manokana dia natsangana tany am-piandohan'ny tetikasa. Ny banky dia efa manana fidirana lavitra, saingy tsy mety amin'ny mpamorona. Ny zava-misy dia ny tetika dia nampiasa ny fifandraisan'ny mpampiasa amin'ny VDI voaaro. Mety ho an'ireo izay mila mailaka sy fonosana birao any amin'ny toeram-piasany fotsiny izany. Ny mpamorona dia mila mpanjifa mavesatra, fampisehoana avo lenta, miaraka amin'ny loharanon-karena maro. Ary mazava ho azy, tsy maintsy ho static izy ireo, satria tsy azo ekena ny fahaverezan'ny session mpampiasa ho an'ireo izay miasa amin'ny VStudio (ohatra) na SDK hafa. Ny fikarakarana VDI static matevina marobe ho an'ny ekipa fampandrosoana rehetra dia nampitombo be ny vidin'ny vahaolana VDI efa misy.

Nanapa-kevitra ny hiasa amin'ny fidirana lavitra mivantana amin'ny loharanon'ny fizarana fampandrosoana izahay. Jira, Wiki, Gitlab, Nexus, manangana dabilio fitsapana, fotodrafitrasa virtoaly. Ny mpiambina dia nitaky fa ny fidirana dia tsy azo omena afa-tsy amin'ireto manaraka ireto:

  1. Mampiasa teknolojia efa misy any amin'ny banky.
  2. Ny fotodrafitrasa dia tsy tokony hampiasa ny fanaraha-maso domaine efa misy izay mitahiry firaketana momba ny kaonty mamokatra.
  3. Ny fidirana dia tokony ho voafetra amin'ireo loharano takian'ny ekipa manokana (mba tsy ahafahan'ny ekipan'ny vokatra iray miditra amin'ny loharanon'ny ekipa hafa).
  4. Fanaraha-maso ambony indrindra amin'ny RBAC amin'ny rafitra.

Vokatr'izany dia nisy sehatra manokana noforonina ho an'ity fizarana ity. Ity sehatra ity dia mirakitra ny loharanon-karena rehetra amin'ny sehatra fampandrosoana, na ny fahazoan-dàlana ho an'ny mpampiasa na ny fotodrafitrasa. Ny tsingerin'ny fiainan'ny firaketana an'ity sehatra ity dia tantano amin'ny fampiasana ny IdM misy ao amin'ny banky.

Ny fidirana mivantana mivantana dia nokarakaraina tamin'ny alàlan'ny fitaovana misy ny banky. Ny fanaraha-maso ny fidirana dia nozaraina ho vondrona AD, izay mifanaraka amin'ny fitsipika momba ny toe-javatra (vondrona vokatra iray = vondrona fitsipika iray).

VM Template Management

Ny hafainganam-pandehan'ny famoronana fivoriambe sy fitsapana dia iray amin'ireo KPI lehibe napetraky ny lehiben'ny vondrona fampandrosoana, satria ny hafainganam-pandehan'ny fanomanana ny tontolo iainana dia misy fiantraikany mivantana amin'ny fotoana famonoana ny fantsona. Safidy roa hanomanana sary VM fototra no nodinihina. Ny voalohany dia ny haben'ny sary ambany indrindra, ny default ho an'ny vokatra rehetra amin'ny rafitra, ny fanarahan-dalàna ambony indrindra amin'ny politikan'ny banky momba ny toe-javatra. Ny faharoa dia ny sary fototra, izay misy POPPO mavesatra napetraka, ny fotoana fametrahana azy dia mety hisy fiantraikany be amin'ny hafainganam-pandehan'ny fantsona.

Nodinihina nandritra ny fampandrosoana ihany koa ny fotodrafitrasa sy ny fitakiana fiarovana - ny fitazonana ny sary ho havaozina (paty, sns.), ny fampidirana amin'ny SIEM, ny fiarovana araka ny fenitry ny banky.

Vokatr'izany dia nanapa-kevitra ny hampiasa sary faran'izay kely mba hanamaivanana ny fandaniana amin'ny fitazonana azy ireo hatrany. Mora kokoa ny manavao ny OS fototra noho ny mametaka sary tsirairay ho an'ny dikan-teny vaovao amin'ny POPPO.

Miorina amin'ny valiny, nisy lisitra natsangana momba ny rafitra fiasana kely indrindra takiana, ny fanavaozana izay ataon'ny ekipan'ny hetsika, ary ny script avy amin'ny fantsona dia tompon'andraikitra tanteraka amin'ny fanavaozana ny rindrambaiko, ary raha ilaina dia ovay ny dikan-teny. amin'ny rindrambaiko napetraka - afindrao fotsiny ny marika ilaina amin'ny fantsona. Eny, izany dia mitaky ny ekipan'ny vokatra devops hanana sehatra fametrahana sarotra kokoa, saingy mampihena be ny fotoana fiasana ilaina hanohanana sary fototra, izay mety mitaky sary VM fototra maherin'ny zato hitazomana azy.

fidirana aterineto

Ny vato misakana iray hafa amin'ny fiarovana ny banky dia ny fidirana amin'ny loharanon'ny Internet avy amin'ny tontolon'ny fampandrosoana. Ankoatra izany, ity fidirana ity dia azo zaraina ho sokajy roa:

  1. Fidirana fotodrafitrasa.
  2. Fahazoan'ny mpamorona.

Ny fidirana amin'ny fotodrafitrasa dia nokarakaraina tamin'ny alàlan'ny proxy repository ivelany miaraka amin'ny Nexus. Izany hoe, tsy nomena ny fidirana mivantana avy amin'ny milina virtoaly. Izany dia nahafahana nanao marimaritra iraisana tamin'ny fiarovana ny fampahalalam-baovao, izay nanohitra tanteraka ny fidirana amin'ny tontolo ivelany avy amin'ny sehatra fampandrosoana.

Nila fidirana amin'ny Internet ny mpamorona noho ny antony mazava (stackoverflow). Ary na dia ny baiko rehetra, araka ny voalaza etsy ambony, dia manana fidirana lavitra amin'ny faritra, dia tsy mety foana rehefa tsy afaka manao ctrl + v avy amin'ny toeram-piasan'ny mpamorona ao amin'ny banky ao amin'ny IDE.

Nisy fifanarahana natao tamin'ny IS fa amin'ny voalohany, amin'ny dingana fitsapana, ny fidirana dia omena amin'ny alàlan'ny proxy banky mifototra amin'ny lisitra fotsy. Rehefa vita ny tetikasa dia hafindra any amin'ny lisitra mainty ny fidirana. Nomanina ny latabatra fidirana midadasika, izay nanondro ny loharanon-karena lehibe sy ny trano fitehirizam-bokatra ilaina amin'ny fidirana amin'ny fanombohan'ny tetikasa. Naharitra ela ny fandrindrana ireo fidirana ireo, izay nahafahana nanantitrantitra ny fanovana haingana indrindra amin'ny lisitra mainty.

vokatra

Nifarana kely noho ny herintaona lasa izay ny tetikasa. Mahagaga fa nifindra tamin'ny stack vaovao ara-potoana ny mpandraharaha rehetra ary tsy nisy tavela noho ny automation vaovao. Tsy maika ny hizara fanehoan-kevitra tsara i IB, fa tsy mitaraina koa, izay azontsika tsoahina fa tiany izany. Nihena ny disadisa satria mahatsiaro ho voafehy indray ny fiarovana ny fampahalalam-baovao, saingy tsy manelingelina ny fizotran'ny fampandrosoana. Nomena andraikitra bebe kokoa ireo ekipa, ary nanjary tsara kokoa ny fihetsika ankapobeny momba ny fiarovana ny vaovao. Nahatakatra ny banky fa saika tsy azo ihodivirana ny fifindrana mankany amin'ny DevSecOps, ary nanao izany, araka ny hevitro, tamin'ny fomba malefaka sy marina indrindra.

Alexander Shubin, mpanao mari-trano.

Source: www.habr.com

Add a comment