Source: Safalta
डेवसेकॉप क्या है?
एक DevSecOps परिभाषा स्थापित करना एक बिना दिमाग के लग सकता है। यह अभ्यास सुरक्षा टीम को DevOps वर्कफ़्लो में लाता है, विकास, संचालन और सुरक्षा के साथ अब एक एकीकृत लक्ष्य की दिशा में सहयोगात्मक रूप से काम कर रहा है।
क्या 2022 में आपके लिए DevOps करियर सही है, साथ ही जानें DevOps की भूमिकाएं
उस ने कहा, प्रक्रिया केवल कुछ नए DevSecOps टूल को एकीकृत करने से परे है। इस लेख में, हम अधिक विस्तार से कार्यप्रणाली में खुदाई करेंगे, मुख्य DevSecOps लाभों की रूपरेखा तैयार करेंगे, और इसके घोषणापत्र की सामग्री पर स्पर्श करेंगे ।
DevSecOps इंजीनियर्स: ये व्यक्ति आईटी संरचना के विन्यास, सुरक्षा खतरों की पहचान करने और सॉफ्टवेयर विकास को सुरक्षित करने के लिए जिम्मेदार हैं। उनका काम आईटी सुरक्षा पेशेवर भूमिकाओं की एक अच्छी डील के समान है।
क्लाउड- सुरक्षा के 4C-
यहां चार सी में पाए जाने वाले कुछ सबसे आम मुद्दे हैं: क्लाउड, क्लस्टर, कंटेनर और कोड दिए है-
क्लस्टर सुरक्षा-
समूहों का प्रबंधन करते समय संगठनों को तीन मुख्य तत्वों पर ध्यान देना चाहिए
क्लस्टर घटकों के लिए कमजोर अभिगम नियंत्रण- कुबेरनेट्स की दुनिया में, क्लस्टर में वर्कर मशीनों का एक सेट होता है, जिसे नोड्स कहा जाता है, जो कंटेनरीकृत एप्लिकेशन चलाते हैं। वर्कर नोड्स पॉड्स को होस्ट करते हैं जो एप्लिकेशन वर्कलोड बनाते हैं। एक कंट्रोल प्लेन क्लस्टर में वर्कर नोड्स और पॉड्स को मैनेज करता है। क्लस्टर का प्रबंधन करते समय कमजोर पहुंच नियंत्रण प्रमुख सुरक्षा मुद्दों में से एक है। एक नया क्लस्टर तैनात करते समय एपीआई सर्वर एक्सेस को नियंत्रित करने और आदि के लिए सीधी पहुंच को प्रतिबंधित करने जैसी चीजें आवश्यक होनी चाहिए।
यह भी पढ़ें
स्टार्टअप्स के लिए 10 सर्वश्रेष्ठ डिजिटल मार्केटिंग स्ट्रेटजी क्या हैं?
खराब क्लस्टर नेटवर्किंग- कंटेनरों, पॉड्स और सेवाओं के बीच संचार के लिए भी सख्त नियंत्रण की आवश्यकता होती है। यह सुनिश्चित करना महत्वपूर्ण है कि Kubernetes नेटवर्किंग मॉडल एक कंटेनर नेटवर्क इंटरफ़ेस (CNI) का उपयोग करके सुरक्षित रूप से लागू किया गया है जो उपयोगकर्ताओं को नेटवर्क नीतियों का उपयोग करके पॉड ट्रैफ़िक को प्रतिबंधित करने की अनुमति देगा।
अनुचित क्लस्टर सेवा कॉन्फ़िगरेशन- क्लस्टर में चल रहे सर्वर के लिए उचित विन्यास और अभिगम नियंत्रण एक ही तर्क का पालन करना चाहिए। एक अनुशंसित सर्वोत्तम अभ्यास पहुंच को प्रतिबंधित करने के लिए एक एक्सेस-अनुमति सूची सेट करना और कम-विशेषाधिकार सिद्धांतों के साथ क्लस्टर चलाना है। कुबेरनेट्स के पास एक व्यापक दस्तावेज है जो इस बात पर चर्चा करता है कि क्लस्टर को आकस्मिक या दुर्भावनापूर्ण पहुंच से कैसे बचाया जाए। साथ ही, क्लस्टरों के लिए उचित प्रमाणीकरण और प्राधिकरण स्थापित करना, ट्रांसपोर्ट लेयर सिक्योरिटी (TLS) का उपयोग करके ट्रैफ़िक को एन्क्रिप्ट करना और गोपनीय जानकारी का उपयोग करके संवेदनशील जानकारी की सुरक्षा करना महत्वपूर्ण है।
DevOps इंजीनियर कौन होते है और एक DevOps इंजीनियर के लिए चाहिए कौन सी योग्यताएं
क्लाउड सुरक्षा-
इस ढांचे में क्लाउड लेयर सर्वर चलाने वाले बुनियादी ढांचे को संदर्भित करती है। क्लाउड सेवा प्रदाता (सीएसपी) एक सुरक्षित क्लाउड इन्फ्रास्ट्रक्चर स्थापित करने के लिए जिम्मेदार हैं। फिर भी, व्यवसायों को क्लाउड सुरक्षा के लिए साझा जिम्मेदारी मॉडल को समझना चाहिए। मॉडल के लिए व्यवसायों को क्लाउड सेवाओं के भीतर रहने वाले अपने डेटा की सुरक्षा बनाए रखने के लिए इन सेवाओं की जांच और कॉन्फ़िगर करने की आवश्यकता होती है।
ऑटोमेशन की खामियां—नई प्रणालियां बनाते समय और नए अनुप्रयोगों करते समय, गति और दक्षता में सुधार के लिए स्वचालन आदर्श हो सकता है। हालाँकि, यह त्रुटियों और सुरक्षा मुद्दों को बहुत तेज़ी से प्रसारित कर सकता है यदि उनकी ठीक से जाँच और निगरानी नहीं की जाती है। संगठनों को अपनी वास्तुकला के विभिन्न पहलुओं को ठीक से और कुशलता से सुरक्षित करने में सक्षम होना चाहिए।
गलत कॉन्फ़िगरेशन समस्याएँ—गलत कॉन्फिगरेशन क्लाउड सुरक्षा की सबसे प्रसिद्ध चुनौती है। ये सरल कॉन्फ़िगरेशन गलतियाँ हैं जिनका साइबर अपराधियों द्वारा लाभ उठाया जा सकता है, व्यवसायों के राजस्व और प्रतिष्ठा की लागत। कई सेवाएं और एप्लिकेशन डिफ़ॉल्ट सेटिंग्स के साथ बनाए जाते हैं जो उन्हें उस वातावरण को देखते हुए उजागर और असुरक्षित छोड़ देते हैं जिसमें वे चल रहे हैं। क्लाउड आर्किटेक्चर की बढ़ती विविधता के साथ, गलत कॉन्फ़िगरेशन का जोखिम बढ़ जाता है, अनिवार्य रूप से खतरे वाले अभिनेताओं के लिए अवसर पैदा करता है।
एडब्ल्यूएस क्लाउड प्रैक्टिशनर नौकरी विवरण
कंटेनर सुरक्षा-
क्लस्टर में कंटेनरों को चलाने के लिए कंटेनर रनटाइम इंजन (सीआरई) की आवश्यकता होती है। डॉकरशिम के पदावनत होने से पहले डॉकर सीआरई में सबसे लोकप्रिय था, लेकिन कुबेरनेट्स कंटेनरड या सीआरआई-ओ जैसे अन्य का भी समर्थन करता है।
अज्ञात स्रोत- यह सुनिश्चित करना महत्वपूर्ण है कि कंटेनर में उपयोग की जा रही छवि ज्ञात स्रोतों या ज्ञात रजिस्ट्रियों द्वारा बनाई गई है। छवियों पर हस्ताक्षर करने और कंटेनरों की सामग्री के लिए विश्वास की एक प्रणाली बनाए रखने के लिए TUF या Docker Content Trust (DCT) जैसे छवि हस्ताक्षर उपकरण का उपयोग करना एक अनुशंसित सर्वोत्तम अभ्यास है।
कमजोर विशेषाधिकार सेटिंग्स- कंटेनरों को केवल उन उपयोगकर्ताओं के साथ चलाना चाहिए जिनके पास अपने कार्यों को करने के लिए आवश्यक न्यूनतम OS विशेषाधिकार हैं।
कोड सुरक्षा-
कोड या एप्लिकेशन लेयर वह जगह है जहां संगठनों का सबसे अधिक नियंत्रण होता है। सुरक्षा जोखिम को केवल उजागर सेवाओं, बंदरगाहों और एपीआई समापन बिंदुओं को प्रतिबंधित और मॉनिटर करके प्रबंधित किया जा सकता है। एप्लिकेशन परत में और सुरक्षा जोड़ने के लिए, सभी संचारों को आंतरिक सेवाओं के बीच भी, TLS एन्क्रिप्शन का उपयोग करना चाहिए
यह भी पढ़ें
Career in Data Science in 6 Easy Steps
असुरक्षित कोड- स्टेटिक कोड विश्लेषण (एससीए) कोड के भीतर सुरक्षा मुद्दों का पता लगाने के सर्वोत्तम और तेज तरीकों में से एक है। विकास पाइपलाइन में एम्बेडेड कम से कम एक स्थिर विश्लेषण उपकरण होने की सिफारिश की जाती है जो हर बार डेवलपर्स द्वारा नया कोड करने पर असुरक्षित कोडिंग प्रथाओं की जांच करता है।
सॉफ्टवेयर निर्भरता का जोखिम- सभी क्लाउड-देशी अनुप्रयोगों के 70% और 90% के बीच लाइब्रेरी से बने होते हैं या तृतीय-पक्ष निर्भरताएं होती हैं। ये कोड के टुकड़े हैं, जो शायद तीसरे पक्ष द्वारा लिखे गए हैं, चल रहे हैं और एप्लिकेशन में एम्बेड किए गए हैं। इन्हें आमतौर पर स्थैतिक विश्लेषण चरण के दौरान चेक नहीं किया जाता है।