#88 Collaborative DevSecOps
Subscribe to get the latest
on 2022-05-24 00:00:00 +0000
with Darren W Pulsipher, Mike Fraser, Callen Sapien,
In questo episodio, Darren parla con Callen Sapien di Sophos, Direttore del Product Management di Sophos Factory e Mike Fraser, VP di DevSecOps, riguardo al loro prodotto che permette una vera collaborazione in SecDevOps.
Keywords
#devsecops #automation #moderncomputing #agile #integration #zerotrust #security #multicloud #cybersecurity #people #process #technology
L’esperienza di Mike come ingegnere di cyber security nell’Air Force e poi lavorando nello sviluppo, nella sicurezza, nelle operazioni e nei servizi gestiti lo ha portato all’obiettivo di creare un prodotto che potesse essere collaborativo per costruire l’automazione moderna intorno a ciò che chiama IT come codice. Voleva considerare il DevSecOps in modo olistico, riunendo tutti insieme.
Il suo prodotto risultante, Sophos Factory, crea soluzioni moderne basate su mattoni con le caratteristiche, funzionalità ed esperienza utente che possono essere utilizzate in tutto lo spettro delle competenze tecniche. Risolvere questo problema è stato complesso, coinvolgendo persone che lavorano visualmente, sviluppatori che codificano, ecc… Era anche necessario colmare il divario tra hardware e software, utilizzando un processo agile tra i team.
La Sophos Factory è più di una semplice pipeline CI/CD. Questa è una piccola parte dell’intero sistema, che funziona dall’inizio alla fine, dalla fase di sviluppo, sicurezza, operazioni e distribuzione con funzionalità come un costruttore visuale, DSL e supporto per tutti i contenuti nel loro formato nativo. Si integra anche con i sistemi esistenti. Coinvolge tutti i diversi team e gli strumenti diversi che utilizzano, quindi va ben oltre la semplice creazione di una pipeline o automazione.
Gli utenti individuali sono presentati con i pezzi a cui sono familiari, ma tutti con la stessa interfaccia. Ad esempio, è possibile creare un insieme di script da un formato visuale. Una persona responsabile della sicurezza può utilizzare la stessa interfaccia con gli strumenti e gli artefatti che si aspetta. Uno sviluppatore full-stack o un ingegnere DevOps possono integrare e creare tutti gli artefatti in modo che gli altri team possano utilizzarli. Non si tratta della creazione di un flusso di lavoro per un componente di automazione, ma di una tessitura interconnessa tra sistemi disparati.
L’integrazione significa il movimento dei dati, ma significa anche azioni. Ad esempio, supponiamo che qualcuno utilizzi Jira sul lato della codifica, ServiceNow sul lato delle operazioni IT e un componente di risposta agli incidenti sul lato della sicurezza. In quel caso, è possibile integrare tutte queste componenti e inviare qualcosa su Slack, in modo che tutti abbiano visibilità e possano rispondere quasi in tempo reale.
Sophos Factory confeziona moduli in pipeline per la riutilizzabilità, che diventano mattoni di costruzione. Questi possono essere costruiti intorno a vari casi d’uso, ma l’obiettivo è quello di creare qualcosa che possa essere utilizzato ripetutamente. Ad esempio, supponiamo che tu stia utilizzando ServiceNow e desideri creare un ticket. In questo caso, lo utilizzi in vari altri casi d’uso legati all’automazione della rete, all’automazione dell’infrastruttura, al cloud, alla sicurezza nativa, ecc. Si tratta di creare soluzioni anziché semplicemente automatizzare queste cose insieme. L’ultimo elemento è la futura sostenibilità, non solo la ripetibilità. Puoi aggiungere o sottrarre dalla pipeline complessiva ciò che non è possibile con l’hardware ma anche molto difficile con i sistemi esistenti come i sistemi CI/CD che sono progettati per rilasciare software in produzione, non per costruire in modo olistico una soluzione e mantenere il ciclo di vita nel tempo.
Con la tecnologia di Sophos Factory, è possibile confezionare diversi strumenti per aiutare a conformarsi agli standard come CIF o NIST 853 e renderli disponibili come flussi di lavoro a basso codice o senza codice. Sophos Factory si discosta dalle altre tecnologie di automazione grazie alla condivisione tramite cataloghi di soluzioni. È possibile pubblicare blocchi di automazione, soluzioni complete o utilizzare automatizzazioni create da altri team. Questo offre un’enorme flessibilità.
Il controllo di versione è integrato nelle pipeline e nei cataloghi delle soluzioni. Se stai utilizzando una pipeline di soluzione da un record pubblicato da qualcun altro, puoi impostarla alla versione che desideri o prelevare dalla versione più recente per ottenere eventuali aggiornamenti. RBAC fa anche parte del sistema nel caso in cui desideri che solo determinati utenti abbiano, ad esempio, accesso in sola lettura. Con l’interoperabilità di Sophos Factory, puoi anche integrare gli strumenti di scansione per mantenere la visibilità nella pipeline. Puoi inoltre eseguire diversi canali attorno agli strumenti di policy.
Sophos Factory intreccia insieme flussi di sicurezza e IT, creando un eccellente punto di integrazione tra i tre capi mostro di Dev, Sec e Ops.
Per migliorare la sicurezza, Sophos Factory dispone di un prodotto di zero-trust e attestazione, ma collaborano anche con altri prodotti di sicurezza come HashiCorp Console. La capacità di zero-trust e attestazione è l’evoluzione naturale per autenticare tra i diversi sistemi. Piuttosto che credenziali statiche, ci sono ora modi migliori per comunicare e condividere in modo sicuro l’attestazione tra gli altri.
Sophos Factory ha un sistema di accreditamento incorporato per la gestione delle chiavi, e supporta HashiCorp Vault e modelli nativi del cloud. Possono inoltre aiutare i servizi di gestione critici sviluppati nel cloud e confezionati intorno a un flusso di lavoro. Non c’è solo una variabile di accreditamento in fase di esecuzione, ma anche una fase di accreditamento che viene valutata solo in fase di esecuzione. Possono aggiungere questi strumenti di sicurezza, in modo da diventare naturalmente parte della tua soluzione di sviluppo.
Sophos Factory si trova nello spazio RPA, ma va ben oltre un semplice esecutore RPA tipico. Sono tecnicamente RPA perché, sebbene gli esseri umani siano ancora coinvolti nella creazione delle cose, le macchine vengono utilizzate per automatizzare il processo. I clienti cercano modi per scalare e ottenere valore in modo sicuro dalle soluzioni IT che acquistano. Sophos Factory si impegna ad aiutare il talento tecnico a crescere e offrir loro accesso a strumenti, ottenendo il massimo da essi e facendolo in modo sicuro.