DevOps и безопасность данных: как DSPM решает проблемы защиты в облаке
Исследуем влияние облачной разработки на роли команд InfoSec и DevOps в защите приложений и данных. Разбираясь с размытыми границами между обеими командами, мы анализируем роль Data Security Posture Management (DSPM) в современной безопасности данных.
Интересным побочным эффектом распространения облачной разработки программного обеспечения является размытие границ между ролями команд InfoSec и DevOps в защите приложений и пользовательских данных.
До недавнего времени DevSecOps в основном занимался обеспечением безопасности и защитой кода, инструментов SDLC и инфраструктуры приложений от потенциальных уязвимостей, утечек и неправильных конфигураций. Сегодня конфиденциальные данные больше не хранятся в безопасных и централизованных базах данных. Вместо этого они разбросаны по аморфным экземплярам на различных облачных и гибридных платформах, что делает защиту данных общей проблемой.
Если посмотреть на цифры, то состояние безопасности данных сегодня просто ужасающее. В 2023 году 47% компаний имеют хотя бы одну базу данных или хранилище данных, доступное в Интернете. Как расширить политику безопасности и соответствия корпоративным данным таким образом, чтобы они следовали за вашими данными?
В этой статье мы познакомимся с управлением состоянием безопасности данных (Data Security Posture Management, DSPM) — инновационным подходом к смещению безопасности данных в облаке и передаче защиты данных, по крайней мере частично, в руки инженеров DevOps.
Почему и что DevOps нужно знать о DSPM
Предположим, вы спроектировали, внедрили и автоматизировали систему безопасности своих приложений — от кода до облака. Данные зашифрованы, доступны приложениям через защищенные API и защищены брандмауэром. Затем разработчик реплицирует некоторые данные в среду более низкого уровня за пределами зоны безопасности информации вашей компании.
Знаете ли вы, какие данные были скопированы? Можете ли вы определить, какая часть информации считается конфиденциальной? И должен ли был вообще разработчик иметь разрешение на дублирование? Если ответ на любой из этих вопросов — «нет» или «может быть», то DSPM в ваших конвейерах CI/CD может быть именно тем, что вам нужно.
DSPM против CSPM
Хотя и DSPM, и CSPM относятся к безопасности ресурсов облачных вычислений, они охватывают различные аспекты облачной безопасности. CSPM (Cloud Security Posture Management – система управления состоянием безопасности облака) фокусируется на защите и обеспечении безопасности облачной инфраструктуры, а DSPM — на защите конфиденциальных данных. Одно не является альтернативой другому. DSPM может дополнять CSPM в вашей общей системе безопасности облачных вычислений и может дублировать инструменты.
7 основных принципов DSPM в DevSecOps
В DevSecOps поддержание надежного уровня безопасности данных имеет решающее значение для защиты конфиденциальной информации. Приведенные ниже советы являются основополагающими компонентами для достижения этой цели.
Вы не сможете защитить данные, если не знаете, где они находятся. Первый шаг — выяснить, где находятся все ваши структурированные и неструктурированные данные.
Например, есть ли в вашей мультиоблачной среде заброшенные базы данных и теневые хранилища данных? Используются ли конфиденциальные данные в сценариях тестирования?
Не все данные одинаковы. Чтобы эффективно расставить приоритеты в усилиях по защите конфиденциальных данных, вам необходимо четкое понимание типов данных, которыми вы владеете, и их конфиденциальности.
Классификация ваших данных по степени конфиденциальности также влечет за собой их каталогизацию, уделяя особое внимание личной информации (PII), финансовым данным, интеллектуальной собственности и субъекту владения данными.
Данные не статичны, особенно в современном быстро меняющемся мире, ориентированном на разработчиков. Чтобы получить полезную информацию о потенциальных слабых местах в вашей системе защиты данных, вам необходимо составить карту потока конфиденциальных данных между пользователями, приложениями, хранилищами данных и службами.
В идеале картирование потока данных должно охватывать весь жизненный цикл данных: от создания, передачи, хранения, обработки и до удаления.
Анонимизированные данные об использовании приложений менее конфиденциальны, чем финансовые данные, поэтому нет необходимости одинаково относиться к обоим типам. Имея полную информацию о том, где находятся ваши конфиденциальные данные, куда они передаются и как они классифицируются, вы можете оценить потенциальные последствия компрометации данных и уровень вашего риска.
Средства управления безопасностью служат инструментом для согласования вашего DSPM с политиками безопасности организации и лучшими отраслевыми практиками. На этом этапе, основываясь на результатах предыдущих шагов, вы можете настроить политики и инструменты, необходимые для оптимизации и автоматизации применения таких мер контроля, как шифрование, предотвращение потери данных (Data Loss Prevention, DLP), сканирование на уязвимости и другие меры защиты.
DSPM включает в себя непрерывный мониторинг потоков и хранилищ данных на предмет потенциальных аномалий, угроз и нарушений политик для решения проблемы. Мониторинг также является требованием правил защиты данных, так же как аудиты и журналы, для которых требуются соответствующие инструменты защиты данных, которые в равной степени доступны командам InfoSec и DevOps.
Хотя DSPM является превентивным подходом, он также включает в себя планирование и реализацию процессов для управления выявленными рисками и принятия мер по их устранению.
Благодаря эффективному DSPM угрозы и риски анализируются и приоритизируются, а ваши команды DevOps получают возможность организовать бесперебойный рабочий процесс, который позволяет лучше сотрудничать с командами InfoSec для устранения проблем, не влияя на потоки разработки.
Защитите важное с помощью DSPM в вашей CI/CD
Интегрируя возможности DSPM в свои конвейеры CI/CD, вы можете гарантировать, что уровень прозрачности данных останется прежним. Таким образом, гораздо проще с самого начала внедрить безопасность данных в свои продукты, не жертвуя инновациями ради конфиденциальности данных.