อะไรคือ DevSecOps และมีความสำคัญอย่างไร
อะไรคือ DevSecOps และมีความสำคัญอย่างไร
ระบบการทำงานรูปแบบใหม่อย่าง DevOps จะช่วยให้องค์กรสามารถดำเนินการเรื่อง “ระบบความปลอดภัยโดยการออกแบบ”หรือSecurity by Design (การทำให้ระบบความปลอดภัยเป็นอัตโนมัติ) โดยทันที
ความสามารถในการอัพเดทซอฟแวร์อย่างรวดเร็วและบ่อยขึ้นกลายเป็นหนึ่งในหนทางที่องค์กรมองหาเพื่อสร้างความโดดเด่นเหนือคู่แข่งและนี่คือเหตุผลที่ต้องผลักดันDevOps ในช่วงไม่กี่ปีที่ผ่านมา
อย่างไรก็ตาม หากคุณไม่เปลี่ยนระบบความปลอดภัยให้ pipeline ของระบบเป็นอัตโนมัติแล้วมันก็จะมีปัญหาเกิดขึ้น อย่างที่ Liz RiceประธานของCloud Native Computing Foundation’s (CNCF)ได้กล่าวที่ประชุม Technical Oversight Committeeชี้ให้เห็นว่า “มันอาจจะเป็นการเพิ่มฟังก์ชั่นใหม่ๆหรือไม่ก็ถูกทิ้งให้ลืม และนั่นอาจจะเป็นอันตรายต่อธุรกิจและข้อมูลลูกค้าที่ธุรกิจมีอยู่”
และนี่คือการเติบโตของ DevSecOps ซึ่งเป็นที่ๆระบบความปลอดภัยจะถูกวางแผนและสร้างในรูปแบบของวงจรการพัฒนา และการพัฒนาธุรกิจ, การปฏิบัติการ และฝ่ายความปลอดภัยจะทำงานใกล้ชิดกันมากขึ้นกว่าเมื่อก่อน
“ระบบความปลอดภัยโดยการออกแบบ” (Security by design)
ความเป็นส่วนตัวและความปลอดภัยโดยการออกแบบ(Privacy and security by design)มาจากการปฏิบัติตามแนวทางของ “กฎหมายมาตรการคุ้มครองความเป็นส่วนตัวของข้อมูลส่วนบุคคล”General Data (Protection Regulation หรือ GDPR) ซึ่งได้ถูกเปลี่ยนจากการที่เคยเป็นคือปฏิบัติที่ดีที่สุดเป็น“ต้องทำหรือไม่ก็ต้องถูกปรับเป็นเงินจำนวนมาก” กล่าวโดย Geoff Parkhurstประธานเจ้าหน้าที่บริหารฝ่ายเทคโนโลยีของ vouchercloud
“นี่จะเป็นการผลักดันให้มีการปรับปรุงในด้านปลอดภัยเพื่อการพัฒนาให้ได้มากที่สุด การขาดระบบความปลอดภัยสร้างผลกระทบโดยตรงต่อโครงสร้างพื้นฐาน มากกว่าภัยคุกคามหรือการโจมตีทางไซเบอร์ในบางกรณี” Parkhurst ทิ้งท้าย
ซึ่งอันที่จริง หากบริษัททำให้ระบบความปลอดภัยเป็นธรรมชาติ ส่วนพื้นฐานของขั้นตอนการพัฒนาได้รับการดำเนินการเป็นอย่างดี วิธีนี้จะทำให้คุณสมบัติด้านความปลอดภัยถูกกำหนดไว้ก่อนที่จะเข้าสู่วงจรของการพัฒนา เมื่อนั้นทุกอย่างจะง่ายยิ่งขึ้นในการที่จะสร้างซอฟแวร์ มากกว่าที่จะมาเพิ่มระบบที่ “แพงและบางทีเข้าใจยากหรือถูกแฮ็กได้ง่ายจนกระทั่งสายเกินไปที่จะออกแบบระบบให้ทำงานอย่างถูกต้อง”กล่าวโดยผู้เชี่ยวชาญด้านอุตสาหกรรมและนักเขียน Brook Schoenfeld
ป้องกันจากการก่ออาชญากรรม
หากบริษัทใดต้องการที่จะเพิ่มประสิทธิภาพและสร้างระบบซอฟแวร์ที่ปลอดภัย บริษัทเหล่านี้ควรจะใช้ DevSecOps ซึ่ง Derek Weeks ผู้ร่วมก่อตั้งชุมชนออนไลน์ที่ชื่อว่า All Day DevOps ได้แนะนำเอาไว้ ซึ่งเขาได้ให้ข้อมูลว่าในอดีตที่ผ่านมา ระยะเวลาในการหาความเสี่ยง(Vulnerability) และ ช่องโหว่ (explosits)จากความเสี่ยงนั้น ใช้เวลาลดลงจาก 45 วัน เหลือเพียง3 วันเท่านั้น
หนึ่งในตัวอย่างมักเกิดขึ้นจากช่องโหว่Stuts ซึ่งสามารถตรวจพบการละเมิดมากมายภายในระยะเวลาเพียง3 วัน ของการหาช่องโหว่ในองค์กรซึ่งประกอบด้วย Equifax, Okinawa Power, GMO Payment Gateway และ Canada Statistics ส่วนบริษัทที่ไม่สามารถปรับใช้เพื่ออัพเดทระบบความปลอดภัย ภายในเวลาที่กำหนดจะพบว่ามีโอกาสเพิ่มความเสี่ยงในการถูกโจมตีจากฝ่ายตรงข้ามได้ (adversarial attacks)
จากผลการสำรวจของ Sonatypes ซึ่งได้ทำการสำรวจความเห็นจากผู้ใช้งาน DevSecOps (Sonatype’s DevSecOps Community Survey) โดยได้สอบถามผู้เชี่ยวชาญด้านIT จำนวน 6,000 คนด้วยคำถามว่า ทำไมพวกเขาถึงเลือกใช้งาน DevSecOps หนึ่งในกลุ่มตัวอย่าง Kayla Alterpeter วิศวกรอาวุโสจาก Merrill Corporation กล่าวว่า “ความปลอดภัยนั้นสำคัญต่อพวกเรา ซึ่งหากเราใช้ระบบความปลอดภัยแบบดั้งเดิม ความเร็วในการพัฒนาก็จะลดลงเรื่อยๆ เราจึงต้องมีระบบที่ปลอดภัยและรวดเร็ว” ดังนั้นนี่จึงเป็นคำตอบที่เพอร์เฟคว่าทำไมDevSecOps จึงสำคัญ และ Weeks ได้กล่าวเสริมว่านี่ไม่ใช่เพียงการทำให้ระบบเป็นอัตโนมัติเท่านั้น มันคือการทำให้ระบบอัติโนมัติรวดเร็วกว่า ผู้คุกคาม
การดำเนินการเรื่อง DevSecOps ให้โอกาสธุรกิจในการในการเปลี่ยนเพื่อกำหนดใหม่ว่าใครสามารถเข้าสู่ระบบและข้อมูลได้เช่นกัน ซึ่งจากที่ Schoenfeld ได้ให้ข้อมูลว่า “นอกจากเรื่องความสะดวกที่ระบบสามารถเป็นได้ มันคงเป็นไอเดียที่แย่ในการที่จะอนุญาตให้ทุกคนเข้าสู่ทุกข้อมูลที่มีอยู่” บริษัทจำเป็นต้องใช้ DevSecOps เพื่อจำกัดการเข้าถึงข้อมูลภายในบริษัทเพื่อว่าจะได่มีเพียงกลุ่มคนที่จำเป็นต้องมีสิทธิพิเศษเท่านั้นที่สามารถเข้าสู่ระบบได้
“วิธีนี้ธุรกิจจะสามารถลดจำนวนภัยคุกคามรวมถึงสร้างระบบความปลอดภัยทางไซเบอร์ที่แข็งแกร่งขึ้น” Schoenfeld เสริม
ข้อเสียของ DevSecOps คืออะไร
เรื่องความปลอดภัยจำเป็นที่จะต้องถูกสร้างให้เป็นส่วนหนึ่งของวัฒนธรรมถึงแม้ว่าDevSecOps จะชี้ทางให้ผู้นำทางธุรกิจได้อย่างถูกต้องอยู่บ่อยครั้ง แต่ Parkhurst เชื่อว่ายังต้องการเวลาในการที่จะทำให้ระบบมีความสมบูรณ์ เขากังวลว่าระบบจะกลายเป็น Buzzword (การมีคำอยู่เต็มไปหมด) ซึ่งอาจหมายถึงว่ารูปแบบของระบบจะกลายเป็น“แบบฝึกหัดแบบเลือกตอบ” และนั่นจะทำให้ธุรกิจคิดว่าพวกเขาสร้างDevSecOps โดยที่ไม่มีการดำเนินการอย่างถูกต้อง”
“สิ่งที่ผมได้เห็นมาคือความเสี่ยงที่มากับขั้นตอนของระบบที่มีคำอยู่เต็มไปหมด(buzzword-led process)ซึ่งนี่ “ไม่สามารถยอมรับได้อย่างเต็มที่”คือ แทนที่จะนำระบบความปลอดภัยที่ไม่มีประสิทธิภาพออกไปจากธุรกิจ ธุรกิจกลับเพียงแค่นำคนให้มารับผิดชอบในระบบความปลอดภัยแทน นั่นจึงเป็นความเสี่ยงเสมอและเป็นเรื่องใหญ่ ซึ่งผู้จัดการโปรเจคที่ดีหรือผู้นำทางเทคโนโลยีบางคนพยายามจะผลักดันให้มีการเปลี่ยนแปลงโดยที่ไม่กระทบระบบนิเวศขององค์กร
“ส่วนผลก็คือในตอนนี้ ผู้เชี่ยวชาญด้านความปลอดภัยได้ทำงานร่วมกันอย่างใกล้ชิดเพื่อเริ่มต้นขั้นตอน ซึ่งนั่นได้สร้างประโยชน์ทีละน้อยและบ่อยครั้งขึ้นเรื่อยๆ แต่ความเข้าใจโดยรวมต่อระบบความปลอดภัยในฐานะจุดสำคัญเพื่อให้ผู้พัฒนาจะยังมีความพร้อมและนี่ไม่แก้ปัญหาอะไรเลย”
อุปสรรคจากความเปลี่ยนแปลงทางวัฒนธรรม
นอกจากนั้นยังมีเรื่องอุปสรรคในเรื่องการยอมรับDevSecOps มาใช้ในองค์กรเนื่องจากจำเป็นต้องมีการเปลี่ยนแปลงโดยสมบูรณ์ของวัฒนธรรมภายในธุรกิจ นี่จึงเป็นสิ่งที่ยากหากบริษัทที่มีขั้นตอนการพัฒนาตายตัวและแตกต่างจากขั้นตอนเรื่องความปลอดภัยในรธุรกิจอื่นๆSchoenfeld กล่าว
Rice ได้แนะนำว่ามันสำคัญที่จะมอบอำนาจให้กับพนักงานและส่งเสริมพวกเขาในการยอมรับเครื่องมือและขั้นตอนในการที่จะสนับสนุนสไตร์การทำงานรูปแบบใหม่โดยเฉพาะด้านความปลอดภัยในที่ๆเครื่องมือแบบดั้งเดิมไม่เพียงพออีกต่อไปSchoenfeld ชี้ให้เห็นว่าบริษัทที่จะนำ DevSecOps มาใช้ต้องลงทุนในความรู้ที่เกี่ยวข้องให้กับพนักงานซึ่งเครื่องมือและขั้นตอนใหม่นี้จำเป็นสำหรับผู้ใช้งานในการเรียนรู้จากแหล่งความรู้ใหม่เช่นกัน
“การเปลี่ยนแปลงไม่ใช่เพียงแค่การถามคำถามเพื่อต้องการให้ระบบทำงาน” Steven Furnel เจ้าหน้าที่อาวุโสของ IEEE และ รองคณบดีและศาสตราจารย์ด้านความปลอดภัยข้อมูลของ University of Plymouthได้เห็นด้วยกับเรื่องนี้และกล่าวว่า “มันจำเป็นที่จะต้องทำงานเพิ่มเติมเช่นการสร้างความมั่นใจว่าพนักงานภายในมีความสามารถและถูกฝึกฝนมาเป็นอย่างดี และมีเครื่องมือที่จำเป็นครบถ้วน อย่างที่ต้องมีการเปลี่ยนแปลงของวัฒนธรรม มีหลายปัจจัยของความปลอดภัยเข้ามาเกี่ยวข้องโดยเฉพาะเรื่องต้นทุนที่ต้องรับผิดชอบแต่มันควรถูกมองว่ามันคือการลงทุนมากกว่าเป็นต้นทุนที่ไม่สามารถคำนวณได้โดยตรง”
สงวนลิขสิทธิ์ Copyright © 2024 บริษัท ควิกเซิร์ฟ โปรไวเดอร์ จำกัด
124/124 หมู่ที่ 2 ถนนนครอินทร์ ตำบลบางสีทอง อำเภอบางกรวย จังหวัดนนทบุรี 11130
โทรศัพท์ 0-2496-1234 โทรสาร 0-2496-1001