ProHoster > بلاګ > اداره > DevOps vs DevSecOps: هغه څه چې په یوه بانک کې ښکاري

DevOps vs DevSecOps: هغه څه چې په یوه بانک کې ښکاري

DevOps vs DevSecOps: هغه څه چې په یوه بانک کې ښکاري

بانک خپلې پروژې ډیری قراردادیانو ته سپاري. "بهرني" کوډ ولیکئ، بیا پایلې په خورا اسانه بڼه کې لیږدئ. په ځانګړې توګه، پروسه داسې ښکاري: دوی یوه پروژه وسپارله چې د دوی سره یې فعالې ازموینې تیرې کړې، او بیا د ادغام، بار او داسې نورو لپاره د بانکدارۍ په چوکاټ کې ازموینه شوې. دا ډیری وختونه وموندل شول چې ازموینې ناکامې وې. بیا هرڅه بیرته بهرني پراختیا کونکي ته لاړل. لکه څنګه چې تاسو اټکل کولی شئ، دا د بګ فکسونو لپاره د اوږدې مودې وخت و.

بانک پریکړه وکړه چې دا ممکنه او اړینه وه چې ټوله پایپ لاین د خپل وزر لاندې راوباسي، له ژمنې څخه خوشې کولو پورې. ترڅو هرڅه یوشان وي او په بانک کې د محصول لپاره مسؤل ټیمونو تر کنټرول لاندې وي. دا، لکه څنګه چې بهرنی قراردادي په ساده ډول د دفتر په بله خونه کې کار کوي. په کارپوریټ سټیک کې. دا یو عادي ډیپوس دی.

سیک له کوم ځای څخه راغلی؟ د بانک امنیت په دې اړه لوړې غوښتنې وړاندې کړې چې څنګه یو بهرنی قراردادي کولی شي د شبکې په برخه کې کار وکړي، څوک کوم لاسرسی لري، څنګه او څوک د کوډ سره کار کوي. دا یوازې دا دی چې IB لا تر اوسه نه پوهیږي چې کله قراردادیان بهر کار کوي، د بانکدارۍ لږ معیارونه تعقیب کیږي. او بیا په څو ورځو کې هرڅوک باید د دوی څارنه پیل کړي.

ساده وحی چې قراردادي د محصول کوډ ته بشپړ لاسرسی درلود لا دمخه یې د دوی نړۍ بدله کړې وه.

پدې شیبه کې د DevSecOps کیسه پیل شوه، کوم چې زه غواړم تاسو ته ووایم.

بانک له دې وضعیت څخه کومې عملي پایلې ترلاسه کړې؟

د دې حقیقت په اړه ډیر تناقض شتون درلود چې هرڅه په غلط ډول ترسره کیږي. پرمخ وړونکو وویل چې امنیت یوازې د پرمختګ په لاره کې د مداخلې په هڅه کې دی او دوی لکه د څارونکو په څیر هڅه کوي پرته له فکر کولو منع کړي. په بدل کې، امنیتي متخصصین د نظرونو ترمنځ د غوره کولو په اړه اندیښنه لري: "پراختیا کونکي زموږ په سرکټ کې زیانمنونکي رامینځته کوي" او "پراختیا کونکي زیانونه نه رامینځته کوي، مګر دوی پخپله دي." شخړه به د اوږدې مودې لپاره دوام ولري که نه د نوي بازار غوښتنې او د DevSecOps تمثیل رامینځته کیدو لپاره. دا ممکنه وه چې تشریح شي چې د پروسې دا خورا اتومات د معلوماتو امنیتي اړتیاو په پام کې نیولو سره "د بکس څخه بهر" به د هرچا سره خوشحاله پاتې کیدو کې مرسته وکړي. په دې معنی چې مقررات سمدلاسه لیکل شوي او د لوبې په جریان کې نه بدلیږي (د معلوماتو امنیت به په ناڅاپي ډول یو څه منع نه کړي) ، او پراختیا کونکي د معلوماتو امنیت د هرڅه په اړه خبر ساتي (د معلوماتو امنیت ناڅاپه له یو څه سره مخ نه کیږي) . هر ټیم د حتمي خوندیتوب لپاره هم مسؤل دی، او نه د ځینې خلاص زړو وروڼو.

  1. څرنګه چې بهرني کارمندان لا دمخه کوډ او یو شمیر داخلي سیسټمونو ته لاس رسی لري، نو دا ممکنه ده چې د اسنادو څخه د اړتیا څخه لیرې شي "پرمختګ باید په بشپړه توګه د بانک په زیربنا کې ترسره شي."
  2. له بلې خوا، موږ اړتیا لرو په هغه څه باندې کنټرول پیاوړی کړو چې پیښیږي.
  3. جوړجاړی د کراس فنکشن ټیمونو رامینځته کول وو، چیرې چې کارمندان د بهرنیو خلکو سره نږدې کار کوي. پدې حالت کې، تاسو اړتیا لرئ ډاډ ترلاسه کړئ چې ټیم د بانک په سرورونو کې په وسیلو کار کوي. له پیل څخه تر پایه پورې.

دا دی، قراردادیانو ته اجازه ورکول کیدی شي، مګر دوی ته باید جلا برخې ورکړل شي. د دې لپاره چې دوی د بانک زیربنا ته له بهر څخه یو ډول انفیکشن نه راوړي او له دې امله دوی د اړتیا څخه ډیر څه ونه ګوري. ښه، نو د دوی عملونه ثبت شوي دي. د لیکونو پروړاندې محافظت لپاره DLP ، دا ټول پکې شامل وو.

په اصولو کې، ټول بانکونه ژر یا وروسته دې ته راځي. دلته موږ وهل شوي لار ته لاړو او د داسې چاپیریالونو اړتیاو باندې موافقه وکړه چیرې چې "بهرني" کار کوي. د لاسرسي کنټرول وسیلو اعظمي حد څرګند شو ، د زیان مننې چک کولو وسیلې ، په سرکټونو ، مجلسونو او ازموینو کې د ویروس ضد تحلیل. دا د DevSecOps په نوم یادیږي.

ناڅاپه دا څرګنده شوه چې که مخکې د DevSecOps بانکداري امنیت د پراختیا کونکي اړخ کې څه پیښیږي کنټرول نلري ، نو په نوي تمثیل کې امنیت په زیربنا کې د عادي پیښو په څیر کنټرول کیږي. یوازې اوس د مجلسونو ، د کتابتونونو کنټرول او داسې نور په اړه خبرتیاوې شتون لري.

ټول هغه څه چې پاتې دي د ټیمونو نوي ماډل ته لیږدول دي. ښه، زیربنا جوړه کړئ. مګر دا کوچني دي، دا د الو رسم کولو په څیر دي. په حقیقت کې، موږ د زیربناوو سره مرسته وکړه، او په هغه وخت کې د پراختیا پروسې بدلې وې.

څه بدلون راغلی

موږ پریکړه وکړه چې دا په کوچنیو ګامونو کې پلي کړو، ځکه چې موږ پوهیږو چې ډیری پروسې به له مینځه یوسي، او ډیری "بهرني" ممکن د هرچا تر څارنې لاندې د نوي کاري شرایطو سره مقاومت ونه کړي.

لومړی، موږ کراس-فعال ټیمونه جوړ کړل او د نویو اړتیاو په پام کې نیولو سره د پروژو تنظیم کول زده کړل. د سازماني مفهوم په اړه موږ په کومو پروسو بحث وکړ. پایله د ټولو مسؤلینو سره د مجلس پایپ لاین ډیاګرام و.

  • IC: Git، Jenkins، Maven، Roslyn، Gradle، jUnit، Jira، MF Fortify، CA Harvest، GitlabCI.
  • سي ډي: ځواب ورکوونکی، ګوډاګی، ټیم سیټی، ګیټلاب TFS، Liquidbase.
  • ازموینه: Sonarqube، SoapUI، jMeter، Selenium: MF Fortify، د فعالیت مرکز، MF UFT، Atacama.
  • پریزنټشن (رپورټ کول، اړیکه): ګرافانا، کبانا، جیرا، کنفلوینس، راکیټ چیټ.
  • عملیاتو په (ساتنه، مدیریت): ځواب ورکوونکی، زیبکس، پرومیتیس، لچکدار + لوګسټاش، د MF خدماتو مدیر، جیرا، کنفلوینس، MS پروژه.

ټاکل شوی سټک:

  • د پوهې بنسټ - د اتلسیا کنفلوینس؛
  • ټاسک ټریکر - اتلسیا جیرا؛
  • د هنري اثارو ذخیره - "Nexus"؛
  • د دوامداره ادغام سیسټم - "Gitlab CI"؛
  • د دوامداره تحلیل سیسټم - "سونار کیوب"؛
  • د غوښتنلیک امنیت تحلیل سیسټم - "د مایکرو فوکس قوي کول"؛
  • د مخابراتو سیسټم - "GitLab Mattermost"؛
  • د تنظیم مدیریت سیسټم - "د ځواب وړ"؛
  • د څارنې سیسټم - "ELK"، "TICK Stack" ("InfluxData").

دوی د یوه ټیم په جوړولو پیل وکړ چې چمتو وي چې قراردادیان دننه راوباسي. دلته یو احساس شتون لري چې ډیری مهم شیان شتون لري:

  • هر څه باید متحد وي، لږترلږه کله چې د کوډ لیږد کول. ځکه چې څومره قراردادیان وو، هومره د پراختیا مختلفې پروسې په خپلو ځانګړتیاو کې وې. دا اړینه وه چې هرڅوک په نږدې یو کې فټ شي، مګر د اختیارونو سره.
  • ډیری قراردادیان شتون لري، او په لاسي توګه د زیربنا جوړول مناسب ندي. هر نوی کار باید په چټکۍ سره پیل شي - دا دی، مثال باید نږدې سمدستي ځای په ځای شي ترڅو پراختیا کونکي د دوی پایپ لاین اداره کولو لپاره د حلونو سیټ ولري.

د لومړي ګام اخیستلو لپاره، دا اړینه وه چې پوه شي چې څه ترسره کیږي. او موږ باید وټاکو چې څنګه هلته ورسیږو. موږ په زیربنا او CI/CD اتومات کې د هدف حل د جوړښت په رسم کولو کې مرسته پیل کړه. بیا موږ د دې لیږدونکي راټولول پیل کړل. موږ یوې زیربنا ته اړتیا درلوده، د هرچا لپاره ورته، چیرې چې ورته لیږدونکي به وځي. موږ د محاسبې سره اختیارونه وړاندیز کړل، بانک فکر وکړ، بیا پریکړه وکړه چې څه به جوړ شي او د کومې فنډ سره.

بل د سرکټ رامینځته کول دي - د سافټویر نصب کول ، تنظیم کول. د زیربنا د پلي کولو او مدیریت لپاره د سکریپټونو پراختیا. بل د لیږدونکي ملاتړ ته لیږد راځي.

موږ پریکړه وکړه چې په پیلوټ کې هرڅه و ازمو. په زړه پورې، د پیلوټ کولو په جریان کې، د لومړي ځل لپاره په بانک کې یو ځانګړی سټیک ښکاره شو. د نورو شیانو په مینځ کې، د حل یو کورني پلورونکي د ګړندۍ لانچ لپاره د پیلوټ ساحې لپاره وړاندیز شوی و. امنیت هغه د پیلوټ په توګه وپیژانده، او دا یو نه هیریدونکی تاثیر پریښود. کله چې موږ د سویچ کولو پریکړه وکړه، خوشبختانه، د زیربنا پرت د Nutanix حل سره بدل شو، کوم چې دمخه په بانک کې و. سربیره پردې، مخکې له دې چې دا د VDI لپاره و، مګر موږ یې د زیربناوو خدماتو لپاره بیا کارول. په کوچنیو حجمونو کې دا په اقتصاد کې مناسب نه و، مګر په لوی مقدار کې دا د پراختیا او ازموینې لپاره یو ښه چاپیریال شو.

پاتې سټیک د هرچا لپاره لږ یا لږ پیژندل شوی. په ځواب کې د اتوماتیک وسایل کارول شوي، او امنیتي متخصصینو له دوی سره نږدې کار کاوه. د اتلسین سټیک د پروژې دمخه د بانک لخوا کارول کیده. Fortinet امنیتي وسیلې - دا پخپله د امنیتي خلکو لخوا وړاندیز شوی و. د ازموینې چوکاټ د بانک لخوا رامینځته شوی ، هیڅ پوښتنه نه ده شوې. د ذخیره کولو سیسټم پوښتنې راپورته کړې؛ زه باید ورسره عادت شم.

قراردادیانو ته یو نوی سټک ورکړل شو. دوی موږ ته وخت راکړ چې دا د GitlabCI لپاره بیا ولیکو، او جیرا د بانکدارۍ برخې ته مهاجرت وکړو، او داسې نور.

ګام پر ګام

سټیج 1. لومړی، موږ د کورني پلورونکي څخه حل وکاراوه، محصول د نوي جوړ شوي DSO شبکې برخې سره وصل و. پلیټ فارم د دې تحویلي وخت ، پیمانه کولو انعطاف او د بشپړ اتومات امکان لپاره غوره شوی و. ترسره شوي ازموینې:

  • د مجازی کولو پلیټ فارم زیربنا د انعطاف وړ او بشپړ اتوماتیک مدیریت امکان (شبکه ، ډیسک فرعي سیسټم ، د کمپیوټري سرچینو فرعي سیسټم).
  • د مجازی ماشین ژوند دورې مدیریت اتومات کول (ټیمپلینګ ، سنیپ شاټونه ، بیک اپ).

د پلیټ فارم د نصب او بنسټیز ترتیب وروسته، دا د دویمې مرحلې فرعي سیسټمونو د ځای پرځای کولو نقطه په توګه کارول کیده (DSO اوزار، د پرچون سیسټم پراختیایي بڼې). د پایپ لاینونو اړین سیټونه رامینځته شوي - رامینځته کول ، حذف کول ، ترمیم کول ، د مجازی ماشینونو بیک اپ. دا پایپ لاینونه د نصبولو پروسې د لومړي پړاو په توګه کارول شوي.

پایله دا ده چې چمتو شوي تجهیزات د فعالیت او غلطۍ زغم لپاره د بانک اړتیاوې نه پوره کوي. د بانک DIT پریکړه وکړه چې د Nutanix سافټویر پیکج پر بنسټ یو کمپلیکس جوړ کړي.

مرحله 2. موږ هغه سټیک واخیست چې تعریف شوی و، او د ټولو فرعي سیسټمونو لپاره د اتوماتیک نصب او وروسته ترتیب کولو سکریپټونه لیکلي ترڅو هر څه ژر تر ژره د پیلوټ څخه هدف سرکټ ته لیږدول شي. ټول سیسټمونه د غلطۍ زغمونکي ترتیب کې ځای په ځای شوي وو (چیرې چې دا وړتیا د پلورونکي جواز ورکولو پالیسیو لخوا محدود ندي) او د میټریکونو او پیښو راټولولو فرعي سیسټمونو سره وصل شوي. IB د خپلو غوښتنو سره مطابقت تحلیل کړ او شنه رڼا یې ورکړه.

مرحله 3. نوي PAC ته د ټولو فرعي سیسټمونو او د دوی ترتیباتو مهاجرت. د انفراسټرکچر اتومات سکریپټونه بیا لیکل شوي، او د DSO فرعي سیسټمونو مهاجرت په بشپړ اتوماتیک حالت کې بشپړ شوی. د IP پراختیا شکلونه د پراختیایی ټیمونو پایپ لاینونو لخوا بیا جوړ شوي.

سټیج 4. د اپلیکیشن سافټویر نصبولو اتومات کول. دا دندې د نوي ټیمونو د ټیم مشرتابه لخوا ټاکل شوي.

سټیج 5. استحصال.

لرې لاسرسی

پراختیایی ټیمونو د سرکټ سره کار کولو کې د اعظمي انعطاف غوښتنه وکړه ، او د پروژې په پیل کې د شخصي لیپټاپونو څخه د لرې لاسرسي اړتیا راپورته شوه. بانک دمخه لیرې لاسرسی درلود، مګر دا د پراختیا کونکو لپاره مناسب نه و. حقیقت دا دی چې سکیم د کارونکي پیوستون د خوندي VDI سره کارولی. دا د هغو کسانو لپاره مناسب و چې یوازې په خپل کار ځای کې بریښنالیک او د دفتر کڅوړې ته اړتیا لري. پراختیا کونکي به درنو پیرودونکو ته اړتیا ولري، لوړ فعالیت، د ډیری سرچینو سره. او البته، دوی باید جامد وي، ځکه چې د هغو کسانو لپاره چې د VStudio (د بیلګې په توګه) یا نور SDK سره کار کوي د کارونکي ناستې له لاسه ورکول د منلو وړ ندي. د ټولو پرمختیایی ټیمونو لپاره د لوی شمیر جامد VDIs تنظیم کول د موجوده VDI حل لګښت خورا ډیر کړی.

موږ پریکړه وکړه چې په مستقیم ډول د پراختیا برخې سرچینو ته د لیرې لاسرسي په اړه کار وکړو. جیرا، ویکی، ګیټلاب، Nexus، جوړ او ازموینه بینچونه، مجازی زیربنا. امنیتي ساتونکو غوښتنه کړې چې لاسرسی یوازې د لاندې شرایطو سره سم چمتو کیدی شي:

  1. د ټیکنالوژیو کارول چې دمخه په بانک کې شتون لري.
  2. زیربنا باید د موجوده ډومین کنټرولر څخه کار وانخلي چې د تولیدي حساب توکو ریکارډونه ذخیره کوي.
  3. لاسرسی باید یوازې هغه سرچینو پورې محدود وي چې د ځانګړي ټیم لخوا ورته اړتیا وي (د دې لپاره چې د محصول ټیم ​​نشي کولی د بل ټیم ​​سرچینو ته لاسرسی ومومي).
  4. په سیسټمونو کې د RBAC اعظمي کنټرول.

د پایلې په توګه، د دې برخې لپاره جلا ډومین جوړ شو. دا ډومین د پراختیایي برخې ټولې سرچینې، د کاروونکي اعتبار او زیربنا دواړه لري. په دې ډومین کې د ریکارډونو ژوند دوره په بانک کې موجود IDM په کارولو سره اداره کیږي.

مستقیم لیرې لاسرسی د بانک د موجوده تجهیزاتو پراساس تنظیم شوی و. د لاسرسي کنټرول په AD ګروپونو ویشل شوی و، کوم چې د شرایطو په اړه مقررات ورته دي (یو محصول ګروپ = د قواعدو یوه ډله).

د VM ټیمپلیټ مدیریت

د غونډې او ازموینې لوپ رامینځته کولو سرعت یو له اصلي KPIs څخه دی چې د پراختیایی واحد مشر لخوا ټاکل شوی ، ځکه چې د چاپیریال چمتو کولو سرعت مستقیم د پایپ لاین عمومي اجرا کولو وخت اغیزه کوي. د بیس VM عکسونو چمتو کولو لپاره دوه اختیارونه په پام کې نیول شوي. لومړی د لږترلږه عکس اندازې دی ، د ټولو سیسټم محصولاتو لپاره ډیفالټ ، د تنظیماتو په اړه د بانک له پالیسیو سره اعظمي اطاعت. دوهم د بیس عکس دی ، کوم چې د درنې دندې POPPO نصب شوی ، د نصب کولو وخت چې کولی شي د پایپ لاین اجرا کولو سرعت خورا اغیزه وکړي.

زیربنا او امنیتي اړتیاوې هم د پراختیا په جریان کې په پام کې نیول شوي - د انځورونو تازه ساتل (پیچونه، او نور)، د SIEM سره یوځای کول، د بانک معیارونو سره سم امنیتي ترتیبات.

د پایلې په توګه، دا پریکړه وشوه چې لږترلږه انځورونه وکاروئ ترڅو د دوی تازه ساتلو لګښت کم کړي. د POPPO نوي نسخو لپاره د هر عکس پیچ کولو په پرتله د بیس OS تازه کول خورا اسانه دي.

د پایلو پراساس ، د عملیاتي سیسټمونو لږترلږه اړین سیټ لیست رامینځته شوی ، کوم چې تازه کول د عملیاتي ټیم لخوا ترسره کیږي ، او د پایپ لاین سکریپټونه په بشپړ ډول د سافټویر تازه کولو مسؤل دي ، او که اړتیا وي ، نسخه بدله کړئ. د نصب شوي سافټویر څخه - یوازې اړین ټګ پایپ لاین ته انتقال کړئ. هو، دا د ډیوپس محصول ټیم ​​ته اړتیا لري چې ډیر پیچلي ګمارنې سناریوګانې ولري، مګر دا د بیس عکسونو مالتړ لپاره اړین عملیاتي وخت خورا کموي، کوم چې کیدای شي د ساتلو لپاره له سلو څخه ډیر بیس VM عکسونو ته اړتیا ولري.

انټرنیټ ته لاسرسی

د بانکي امنیت سره یو بل خنډ د پراختیایی چاپیریال څخه انټرنیټ سرچینو ته لاسرسی و. سربیره پردې، دا لاسرسی په دوو کټګوریو ویشل کیدی شي:

  1. زیربنا ته لاسرسی.
  2. پرمخ وړونکي لاسرسی.

زیربنا ته لاسرسی د Nexus سره د بهرني ذخیره کولو پراکسي کولو سره تنظیم شوی و. دا دی، د مجازی ماشینونو څخه مستقیم لاسرسی ندی چمتو شوی. دې کار دا ممکنه کړه چې د معلوماتو امنیت سره جوړجاړي ته ورسیږو، کوم چې په ښکاره ډول د پراختیا برخې څخه بهرنۍ نړۍ ته د هرډول لاسرسي چمتو کولو پروړاندې و.

پراختیا کونکي د واضح دلیلونو لپاره انټرنیټ ته لاسرسي ته اړتیا لري (د سټیک اوور فلو). او که څه هم ټول کمانډونه، لکه څنګه چې پورته یادونه وشوه، سرکټ ته لیرې لاسرسی درلود، دا تل اسانه نه وي کله چې تاسو په IDE کې په بانک کې د پراختیا کونکي کاري ځای څخه ctrl+v نشي کولی.

له IS سره موافقه وشوه چې په پیل کې، د ازموینې په مرحله کې، د سپین لیست پراساس د بانکدارۍ پراکسي له لارې لاسرسی چمتو کیږي. د پروژې په بشپړیدو سره، لاسرسی به تور لیست ته لیږدول کیږي. د لاسرسي لوی میزونه چمتو شوي ، کوم چې اصلي سرچینې او زیرمې په ګوته کوي چې د پروژې په پیل کې ورته لاسرسي ته اړتیا وه. د دې لاسرسي همغږي کول کافي وخت نیولی ، کوم چې دا امکان رامینځته کړی چې تور لیست ته ترټولو ګړندۍ لیږد باندې ټینګار وکړي.

پایلې

دا پروژه د یو کال څخه لږ څه دمخه پای ته ورسیده. په عجیبه توګه، ټول قراردادیان په خپل وخت نوي سټیک ته لاړ او هیڅوک د نوي اتوماتیک له امله پاتې نه شول. IB د مثبت فیډبیک شریکولو لپاره بېړه نه کوي، مګر شکایت هم نه کوي، له دې څخه موږ پایله کولی شو چې دوی یې خوښوي. شخړې کمې شوې ځکه چې د معلوماتو امنیت بیا د کنټرول احساس کوي، مګر د پراختیا پروسو کې مداخله نه کوي. ټیمونو ته ډیر مسؤلیت ورکړل شو، او د معلوماتو د خوندیتوب په اړه عمومي چلند ښه شو. بانک پوهیده چې DevSecOps ته لیږد تقریبا ناگزیر و، او زما په نظر، په خورا نرم او سم ډول یې ترسره کړ.

الکساندر شوبین، د سیسټم معمار.

سرچینه: www.habr.com

Add a comment