ProHoster > Блог > Isakoso > DevOps vs DevSecOps: kini o dabi ni banki kan

DevOps vs DevSecOps: kini o dabi ni banki kan

DevOps vs DevSecOps: kini o dabi ni banki kan

Ile-ifowopamosi ṣe alaye awọn iṣẹ akanṣe rẹ si ọpọlọpọ awọn alagbaṣe. “Awọn ita” kọ koodu, lẹhinna atagba awọn abajade ni fọọmu ti ko rọrun pupọ. Ni pataki, ilana naa dabi eyi: wọn fi iṣẹ akanṣe kan ti o kọja awọn idanwo iṣẹ-ṣiṣe pẹlu wọn, lẹhinna ni idanwo inu agbegbe ile-ifowopamọ fun iṣọpọ, fifuye, ati bẹbẹ lọ. Nigbagbogbo a ṣe awari pe awọn idanwo ti kuna. Lẹhinna ohun gbogbo pada si idagbasoke ti ita. Bi o ṣe le gboju, eyi tumọ si awọn akoko idari gigun fun awọn atunṣe kokoro.

Ile-ifowopamọ pinnu pe o ṣee ṣe ati pe o ṣe pataki lati fa gbogbo opo gigun ti epo labẹ apakan rẹ, lati awọn adehun lati tu silẹ. Ki ohun gbogbo jẹ aṣọ ile ati labẹ iṣakoso ti awọn ẹgbẹ lodidi fun ọja ni ile ifowo pamo. Iyẹn ni, bii ẹni pe olugbaisese ita n ṣiṣẹ ni ibikan ni yara atẹle ti ọfiisi. Lori akopọ ile-iṣẹ. Eleyi jẹ arinrin devops.

Nibo ni Sec ti wa? Aabo ile-ifowopamosi ti gbe awọn ibeere giga lori bii olugbaisese ita le ṣiṣẹ ni apakan nẹtiwọọki, kini wiwọle ẹnikan ni, bii ati tani n ṣiṣẹ pẹlu koodu naa. O kan jẹ pe IB ko tii mọ pe nigbati awọn alagbaṣe ṣiṣẹ ni ita, awọn iṣedede ile-ifowopamọ diẹ tẹle. Ati lẹhinna ni awọn ọjọ meji gbogbo eniyan nilo lati bẹrẹ akiyesi wọn.

Ifihan ti o rọrun ti olugbaisese ni iwọle ni kikun si koodu ọja ti yi aye wọn pada tẹlẹ.

Ni akoko yii, itan ti DevSecOps bẹrẹ, eyiti Mo fẹ sọ fun ọ nipa.

Awọn ipinnu ti o wulo wo ni ile-ifowopamọ fa lati ipo yii?

Ọpọlọpọ ariyanjiyan wa nipa otitọ pe ohun gbogbo n ṣe ni ọna ti ko tọ. Awọn Difelopa sọ pe aabo n ṣiṣẹ nikan ni igbiyanju lati dabaru pẹlu idagbasoke, ati pe wọn, bii awọn oluṣọ, gbiyanju lati ṣe idiwọ laisi ironu. Ni ọna, awọn alamọja aabo ṣiyemeji laarin yiyan laarin awọn aaye ti wiwo: “Awọn olupilẹṣẹ ṣẹda awọn ailagbara ninu agbegbe wa” ati “awọn olupilẹṣẹ ko ṣẹda awọn ailagbara, ṣugbọn wọn jẹ funrara wọn.” Ifarakanra naa yoo ti tẹsiwaju fun igba pipẹ ti kii ba ṣe fun awọn ibeere ọja tuntun ati ifarahan ti apẹrẹ DevSecOps. O ṣee ṣe lati ṣe alaye pe adaṣe adaṣe ti awọn ilana ni akiyesi awọn ibeere aabo alaye “lati inu apoti” yoo ṣe iranlọwọ fun gbogbo eniyan lati ni idunnu. Ni ori pe awọn ofin ti kọ silẹ lẹsẹkẹsẹ ati pe ko yipada lakoko ere (aabo alaye kii yoo ṣe idiwọ ohunkan lairotẹlẹ), ati pe awọn olupilẹṣẹ jẹ ki aabo alaye alaye nipa ohun gbogbo ti o ṣẹlẹ (aabo alaye ko ba pade nkan lojiji) . Ẹgbẹ kọọkan tun jẹ iduro fun aabo ti o ga julọ, kii ṣe diẹ ninu awọn arakunrin agbalagba abibẹrẹ.

  1. Niwọn igba ti awọn oṣiṣẹ ita ti ni iwọle si koodu ati nọmba awọn eto inu, o ṣee ṣe lati yọkuro lati awọn iwe aṣẹ ibeere “idagbasoke gbọdọ ṣee ṣe ni kikun lori awọn amayederun banki.”
  2. Ní ọwọ́ kejì ẹ̀wẹ̀, a ní láti fún agbára ìdarí lórí ohun tí ń ṣẹlẹ̀.
  3. Ibaṣepọ jẹ ẹda ti awọn ẹgbẹ iṣẹ-agbelebu, nibiti awọn oṣiṣẹ ṣiṣẹ ni pẹkipẹki pẹlu awọn eniyan ita. Ni idi eyi, o nilo lati rii daju pe egbe ṣiṣẹ lori awọn irinṣẹ lori awọn olupin ile-ifowopamọ. Lati ibẹrẹ si opin.

Iyẹn ni, awọn alagbaṣe le gba wọn laaye, ṣugbọn wọn nilo lati fun wọn ni awọn apakan lọtọ. Ki wọn ko ba mu iru ikolu kan wa lati ita sinu awọn amayederun ile-ifowopamọ ati ki wọn ko rii diẹ sii ju ohun ti o jẹ dandan lọ. O dara, ki awọn iṣe wọn ba wọle. DLP fun aabo lodi si awọn n jo, gbogbo eyi wa pẹlu.

Ni opo, gbogbo awọn bèbe wa si eyi laipẹ tabi ya. Nibi a lọ si ọna ti o lu ati gba lori awọn ibeere fun iru awọn agbegbe nibiti “awọn ita” ṣiṣẹ. Iwọn ti o pọju han ti awọn irinṣẹ iṣakoso iraye si, awọn irinṣẹ ṣiṣayẹwo ailagbara, itupalẹ egboogi-ọlọjẹ lori awọn iyika, awọn apejọ ati awọn idanwo. Eyi ni a pe ni DevSecOps.

Lojiji o han gbangba pe ti o ba jẹ pe ṣaaju aabo ile-ifowopamọ DevSecOps ko ni iṣakoso lori ohun ti o ṣẹlẹ ni ẹgbẹ olupilẹṣẹ, lẹhinna ni aabo paradigm tuntun ti wa ni iṣakoso ni ọna kanna bi awọn iṣẹlẹ lasan lori awọn amayederun. Nikan ni bayi awọn itaniji wa lori awọn apejọ, iṣakoso awọn ile-ikawe, ati bẹbẹ lọ.

Gbogbo ohun ti o ku ni lati gbe awọn ẹgbẹ lọ si awoṣe tuntun. O dara, ṣẹda awọn amayederun. Ṣugbọn awọn wọnyi jẹ awọn ohun kekere, o dabi iyaworan owiwi kan. Lootọ, a ṣe iranlọwọ pẹlu awọn amayederun, ati ni akoko yẹn awọn ilana idagbasoke ti yipada.

Kini ti yipada

A pinnu lati ṣe ni awọn igbesẹ kekere, nitori a loye pe ọpọlọpọ awọn ilana yoo ṣubu, ati ọpọlọpọ awọn "ita" le ma ni anfani lati koju awọn ipo iṣẹ titun labẹ abojuto gbogbo eniyan.

Ni akọkọ, a ṣẹda awọn ẹgbẹ iṣẹ-agbelebu ati kọ ẹkọ lati ṣeto awọn iṣẹ akanṣe ni akiyesi awọn ibeere tuntun. Ni ori ti ajo ti a sọrọ kini awọn ilana. Abajade jẹ aworan atọka ti opo gigun ti epo pẹlu gbogbo awọn ti o ni iduro.

  • IC: Git, Jenkins, Maven, Roslyn, Gradle, jUnit, Jira, MF Fortify, CA ikore, GitlabCI.
  • CD: Ansible, Puppet, TeamCity, Gitlab TFS, Liquidbase.
  • igbeyewo: Sonarqube, SoapUI, jMeter, Selenium: MF Fortify, Ile-iṣẹ Iṣẹ, MF UFT, Ataccama.
  • igbejade (iroyin, ibaraẹnisọrọ): Grafana, Kibana, Jira, Confluence, RocketChat.
  • mosi (itọju, isakoso): Ansible, Zabbix, Prometheus, Elastic + Logstash, MF Service Manager, Jira, Confluence, MS Project.

Akopọ ti a yan:

  • Ipilẹ Imọ - Atlassian Confluence;
  • Olutọpa iṣẹ-ṣiṣe - Atlassian Jira;
  • Ibi ipamọ Artifact - "Nexus";
  • Eto iṣọpọ ilọsiwaju - “Gitlab CI”;
  • Eto itupalẹ ilọsiwaju - "SonarQube";
  • Eto itupalẹ aabo ohun elo - “Micro Focus Forify”;
  • Eto ibaraẹnisọrọ - "GitLab Mattermost";
  • Eto iṣakoso iṣeto ni - “Aṣeṣe”;
  • Eto abojuto – “ELK”, “TiCK Stack” (“InfluxData”).

Wọn bẹrẹ lati ṣẹda ẹgbẹ kan ti yoo ṣetan lati fa awọn alagbaṣe sinu. Imọye kan wa pe ọpọlọpọ awọn nkan pataki wa:

  • Ohun gbogbo yẹ ki o wa ni isokan, o kere ju nigba gbigbe koodu. Nitoripe ọpọlọpọ awọn kontirakito wa bi ọpọlọpọ awọn ilana idagbasoke ti o yatọ pẹlu awọn ẹya ara wọn. O jẹ dandan lati baamu gbogbo eniyan si isunmọ ọkan, ṣugbọn pẹlu awọn aṣayan.
  • Ọpọlọpọ awọn kontirakito wa, ati ẹda afọwọṣe ti awọn amayederun ko dara. Eyikeyi iṣẹ-ṣiṣe tuntun yẹ ki o bẹrẹ ni iyara pupọ - iyẹn ni, apẹẹrẹ yẹ ki o gbe lọ si lẹsẹkẹsẹ ki awọn olupilẹṣẹ ni ṣeto awọn solusan lati ṣakoso opo gigun ti epo wọn.

Lati ṣe igbesẹ akọkọ, o jẹ dandan lati ni oye ohun ti a nṣe. Ati pe a ni lati pinnu bi a ṣe le de ibẹ. A bẹrẹ nipasẹ iranlọwọ lati fa faaji ti ojutu ibi-afẹde mejeeji ni awọn amayederun ati adaṣe CI/CD. Lẹhinna a bẹrẹ si ṣajọpọ irinna yii. A nilo ọkan amayederun, kanna fun gbogbo eniyan, ibi ti kanna conveyors yoo ṣiṣe. A funni ni awọn aṣayan pẹlu awọn iṣiro, ero banki, lẹhinna pinnu kini yoo kọ ati pẹlu awọn owo wo.

Next ni awọn ẹda ti awọn Circuit - fifi sori ẹrọ ti software, iṣeto ni. Idagbasoke awọn iwe afọwọkọ fun imuṣiṣẹ amayederun ati iṣakoso. Nigbamii ti iyipada si atilẹyin conveyor.

A pinnu lati ṣe idanwo ohun gbogbo lori awaoko. O yanilenu, lakoko awakọ awakọ, akopọ kan han ni banki fun igba akọkọ. Lara awọn ohun miiran, olutaja inu ile ti ọkan ninu awọn ojutu ni a funni fun ipari ti awaoko fun ifilọlẹ iyara. Aabo ni lati mọ ọ bi o ti wakọ, ati awọn ti o fi ohun manigbagbe sami. Nigba ti a ba pinnu lati yi pada, da, awọn amayederun Layer rọpo pẹlu kan Nutanix ojutu, eyi ti o wà tẹlẹ ninu awọn ifowo ṣaaju ki o to. Pẹlupẹlu, ṣaaju pe o wa fun VDI, ṣugbọn a tun lo fun awọn iṣẹ amayederun. Ni awọn ipele kekere ko baamu si aje, ṣugbọn ni awọn ipele nla o di agbegbe ti o dara julọ fun idagbasoke ati idanwo.

Awọn iyokù ti akopọ jẹ diẹ sii tabi kere si faramọ si gbogbo eniyan. Awọn irinṣẹ adaṣe adaṣe ni Ansible ni a lo, ati awọn alamọja aabo ṣiṣẹ ni pẹkipẹki pẹlu wọn. Akopọ Atlassin ni banki lo ṣaaju iṣẹ akanṣe naa. Awọn irinṣẹ aabo Fortinet - o ti dabaa nipasẹ awọn eniyan aabo funrararẹ. Awọn fireemu igbeyewo ti a da nipasẹ awọn ile ifowo pamo, ko si ibeere beere. Eto ibi ipamọ naa gbe awọn ibeere dide; Mo ni lati lo si.

Kontirakito won fun titun kan akopọ. Wọn fun wa ni akoko lati tun kọwe fun GitlabCI, ati lati lọ si Jira si apa ile-ifowopamọ, ati bẹbẹ lọ.

igbese nipa igbese

Ipele 1. Ni akọkọ, a lo ojutu kan lati ọdọ olutaja ile, ọja naa ti sopọ si apakan nẹtiwọki DSO tuntun ti a ṣẹda. Syeed ti yan fun akoko ifijiṣẹ rẹ, irọrun iwọn ati iṣeeṣe adaṣe ni kikun. Awọn idanwo ti a ṣe:

  • O ṣeeṣe lati ni irọrun ati iṣakoso adaṣe ni kikun ti awọn amayederun ipilẹ ẹrọ agbara (nẹtiwọọki, eto inu disiki, eto ipilẹ awọn orisun iširo).
  • Adaṣiṣẹ ti iṣakoso igbesi aye ẹrọ foju (awoṣe, awọn aworan aworan, awọn afẹyinti).

Lẹhin fifi sori ẹrọ ati iṣeto ipilẹ ti pẹpẹ, o ti lo bi aaye ti aaye ti awọn ipilẹ-ipele ipele keji (awọn irinṣẹ DSO, awọn ilana idagbasoke awọn ọna ṣiṣe soobu). Awọn eto pataki ti awọn pipeline ni a ṣẹda - ẹda, piparẹ, iyipada, afẹyinti ti awọn ẹrọ foju. Awọn opo gigun ti epo wọnyi ni a lo bi ipele akọkọ ti ilana imuṣiṣẹ.

Abajade ni pe ẹrọ ti a pese ko ni ibamu pẹlu awọn ibeere ile-ifowopamọ fun iṣẹ ati ifarada aṣiṣe. DIT ti banki pinnu lati ṣẹda eka kan ti o da lori package sọfitiwia Nutanix.

Ipele 2. A mu akopọ ti a ti ṣalaye, o si kọ fifi sori ẹrọ adaṣe ati awọn iwe afọwọkọ lẹhin atunto fun gbogbo awọn ọna ṣiṣe ki ohun gbogbo ti gbe lati ọdọ awaoko si agbegbe ibi-afẹde ni yarayara bi o ti ṣee. Gbogbo awọn ọna ṣiṣe ni a gbe lọ si iṣeto ifarada-aṣiṣe (nibiti agbara yii ko ni opin nipasẹ awọn ilana iwe-aṣẹ olutaja) ati sopọ si awọn metiriki ati awọn eto ikojọpọ iṣẹlẹ. IB ṣe atupale ibamu pẹlu awọn ibeere rẹ ati fun ina alawọ ewe.

Ipele 3. Iṣilọ ti gbogbo awọn eto abẹlẹ ati awọn eto wọn si PAC tuntun. Awọn iwe afọwọkọ adaṣe awọn amayederun ni a tun kọ, ati iṣilọ ti awọn ọna ṣiṣe abẹlẹ DSO ti pari ni ipo adaṣe ni kikun. Awọn ipele ti idagbasoke IP ni a tun ṣe nipasẹ awọn opo gigun ti awọn ẹgbẹ idagbasoke.

Ipele 4. Automation ti ohun elo software fifi sori. Awọn iṣẹ ṣiṣe wọnyi ni a ṣeto nipasẹ awọn oludari ẹgbẹ ti awọn ẹgbẹ tuntun.

Ipele 5. ilokulo.

Wiwọle latọna jijin

Awọn ẹgbẹ idagbasoke beere fun irọrun ti o pọju ni ṣiṣẹ pẹlu Circuit, ati pe ibeere fun iraye si latọna jijin lati awọn kọnputa agbeka ti ara ẹni ni a gbe dide ni ibẹrẹ ti iṣẹ akanṣe naa. Ile ifowo pamo ti ni iraye si latọna jijin, ṣugbọn ko dara fun awọn olupilẹṣẹ. Otitọ ni, ero naa lo asopọ olumulo si VDI ti o ni aabo. Eyi dara fun awọn ti o nilo meeli nikan ati package ọfiisi ni aaye iṣẹ wọn. Awọn olupilẹṣẹ yoo nilo awọn alabara wuwo, iṣẹ ṣiṣe giga, pẹlu ọpọlọpọ awọn orisun. Ati pe dajudaju, wọn ni lati jẹ aimi, nitori pipadanu igba olumulo fun awọn ti o ṣiṣẹ pẹlu VStudio (fun apẹẹrẹ) tabi SDK miiran jẹ itẹwẹgba. Ṣiṣeto nọmba nla ti awọn VDI aimi nipọn fun gbogbo awọn ẹgbẹ idagbasoke pọ si gaan idiyele ti ojutu VDI ti o wa tẹlẹ.

A pinnu lati ṣiṣẹ lori iraye si jijin taara si awọn orisun ti apakan idagbasoke. Jira, Wiki, Gitlab, Nesusi, kọ ati idanwo awọn ijoko, awọn amayederun foju. Awọn oluso aabo ti beere pe iraye si le pese labẹ awọn atẹle:

  1. Lilo awọn imọ-ẹrọ ti o wa tẹlẹ ni banki.
  2. Awọn amayederun ko yẹ ki o lo awọn olutọsọna agbegbe ti o wa tẹlẹ ti o tọju awọn igbasilẹ ti awọn nkan akọọlẹ iṣelọpọ.
  3. Wiwọle yẹ ki o ni opin si awọn orisun ti o nilo nikan nipasẹ ẹgbẹ kan (ki ẹgbẹ ọja kan ko le wọle si awọn orisun ẹgbẹ miiran).
  4. O pọju Iṣakoso lori RBAC ni awọn ọna šiše.

Bi abajade, a ṣẹda agbegbe lọtọ fun apa yii. Agbegbe yii gbe gbogbo awọn orisun apakan idagbasoke, awọn iwe-ẹri olumulo mejeeji ati awọn amayederun. Ilana igbesi aye ti awọn igbasilẹ ni agbegbe yii ni a ṣakoso ni lilo IdM ti o wa ni banki.

Wiwọle latọna jijin taara ni a ṣeto lori ipilẹ awọn ohun elo banki ti o wa tẹlẹ. A ti pin iṣakoso wiwọle si awọn ẹgbẹ AD, eyiti awọn ofin lori awọn ipo ni ibamu (ẹgbẹ ọja kan = ẹgbẹ kan ti awọn ofin).

VM Àdàkọ Management

Iyara ti ṣiṣẹda apejọ kan ati lupu idanwo jẹ ọkan ninu awọn KPI akọkọ ti a ṣeto nipasẹ ori apakan idagbasoke, nitori iyara ti ngbaradi agbegbe taara ni ipa lori akoko ipaniyan gbogbogbo ti opo gigun ti epo. Awọn aṣayan meji fun murasilẹ awọn aworan VM mimọ ni a gbero. Ni akọkọ ni awọn iwọn aworan ti o kere ju, aiyipada fun gbogbo awọn ọja eto, ibamu ti o pọju pẹlu awọn eto imulo banki nipa awọn eto. Ẹlẹẹkeji ni aworan ipilẹ, eyiti o ni POPPO ti o wuwo ti a fi sori ẹrọ, akoko fifi sori eyiti o le ni ipa pupọ ni iyara ipaniyan ti opo gigun ti epo.

Awọn amayederun ati awọn ibeere aabo ni a tun ṣe akiyesi lakoko idagbasoke - titọju awọn aworan titi di oni (awọn abulẹ, ati bẹbẹ lọ), iṣọpọ pẹlu SIEM, awọn eto aabo ni ibamu si awọn iṣedede banki.

Bi abajade, a pinnu lati lo awọn aworan ti o kere julọ lati le dinku iye owo ti fifi wọn di imudojuiwọn. O rọrun pupọ lati ṣe imudojuiwọn OS ipilẹ ju lati parẹ aworan kọọkan fun awọn ẹya tuntun ti POPPO.

Da lori awọn abajade, atokọ kan ti ṣẹda eto ti o kere julọ ti awọn ọna ṣiṣe, imudojuiwọn eyiti o jẹ nipasẹ ẹgbẹ iṣiṣẹ, ati awọn iwe afọwọkọ lati opo gigun ti epo jẹ iduro patapata fun imudojuiwọn sọfitiwia naa, ati pe ti o ba jẹ dandan, yi ẹya naa pada. sọfitiwia ti a fi sii - kan gbe tag ti a beere si opo gigun ti epo. Bẹẹni, eyi nilo ẹgbẹ ọja devops lati ni awọn oju iṣẹlẹ imuṣiṣẹ diẹ sii, ṣugbọn o dinku pupọ akoko iṣẹ ti o nilo lati ṣe atilẹyin awọn aworan ipilẹ, eyiti bibẹẹkọ le nilo diẹ sii ju awọn aworan VM ipilẹ ọgọrun ọgọrun lati ṣetọju.

Wiwọle Ayelujara

Ohun ikọsẹ miiran pẹlu aabo ile-ifowopamọ ni iraye si awọn orisun Intanẹẹti lati agbegbe idagbasoke. Pẹlupẹlu, wiwọle yii le pin si awọn ẹka meji:

  1. Wiwọle amayederun.
  2. Wiwọle Olùgbéejáde.

Wiwọle ohun elo ti ṣeto nipasẹ sisọ awọn ibi ipamọ ita pẹlu Nesusi. Iyẹn ni, wiwọle taara lati awọn ẹrọ foju ko pese. Eyi jẹ ki o ṣee ṣe lati de adehun kan pẹlu aabo alaye, eyiti o lodi si ipese eyikeyi iraye si agbaye ita lati apakan idagbasoke.

Awọn olupilẹṣẹ nilo iraye si Intanẹẹti fun awọn idi ti o han gbangba (stackoverflow). Ati pe botilẹjẹpe gbogbo awọn aṣẹ, bi a ti sọ loke, ni iraye si latọna jijin si Circuit, kii ṣe irọrun nigbagbogbo nigbati o ko le ṣe ctrl + v lati ibi iṣẹ ti olupilẹṣẹ ni banki ni IDE.

A ṣe adehun pẹlu IS pe ni ibẹrẹ, ni ipele idanwo, iraye si yoo pese nipasẹ aṣoju ile-ifowopamọ ti o da lori atokọ funfun kan. Lẹhin ipari iṣẹ akanṣe, wiwọle yoo gbe si atokọ dudu. Awọn tabili iwọle nla ti pese, eyiti o tọka awọn orisun akọkọ ati awọn ibi ipamọ eyiti o nilo wiwọle si ni ibẹrẹ iṣẹ naa. Ṣiṣakoṣo awọn wiwọle wọnyi gba iye akoko ti o tọ, eyiti o jẹ ki o ṣee ṣe lati ta ku lori iyipada iyara ti o ṣeeṣe si awọn akojọ dudu.

Результаты

Ise agbese na pari diẹ kere ju ọdun kan sẹhin. Ni iyalẹnu, gbogbo awọn olugbaisese yipada si akopọ tuntun ni akoko ko si si ẹnikan ti o lọ nitori adaṣe tuntun. IB ko yara lati pin awọn esi rere, ṣugbọn ko ṣe kerora boya, lati eyiti a le pinnu pe wọn fẹran rẹ. Awọn ijiyan ti dinku nitori aabo alaye tun lero ni iṣakoso, ṣugbọn ko dabaru pẹlu awọn ilana idagbasoke. A fun awọn ẹgbẹ naa ni ojuse diẹ sii, ati ihuwasi gbogbogbo si aabo alaye di dara julọ. Ile-ifowopamọ loye pe iyipada si DevSecOps jẹ eyiti ko ṣeeṣe, o si ṣe, ni ero mi, ni ọna ti o rọrun julọ ati ti o tọ.

Alexander Shubin, ayaworan eto.

orisun: www.habr.com

Fi ọrọìwòye kun