DevSecOps คืออะไร? สำคัญอย่างไรในยุคนี้

• Facebook
• Twitter
• Line

DevOps กลไกอันแสนวิเศษที่ช่วยเพิ่มประสิทธิภาพในการ Development ทั้งย่นระยะการ Deploy, ลดปัญหาระหว่างการ Deploy ทั้งยังสามารถ Integrated Pipeline ต่าง ๆ เพิ่มเข้าไปได้ และที่สำคัญ Tool ต่าง ๆ ที่เกี่ยวข้องก็เพิ่มขึ้นอย่างมากมาย (เยอะมากจริง ๆ)

แน่นอนว่ามันไม่ได้มีแต่ข้อดีเพียงอย่างเดียว เช่น เดียวกับระบบอัตโนมัติทั่วไป ด้วยความที่มันแทบจะ Automate ทั้ง Flow หากโดน Compromise ขึ้นมาเมื่อไหร่ อาจทำให้เกิดความเสียหายเป็นวงกว้างได้ เช่น การดึง Dependency ที่ติด malware เข้ามาแม้จะเป็นจาก Official Repo ก็ตาม แม้กระทั่งการโดนโจมตีในรูปแบบต่าง ๆ หากไม่ได้มีการจัดการที่รัดกุม จากที่จะลดเวลาลดขั้นตอน อาจต้องเป็นฝันร้ายต้องมานั่งแก้ไขความเสียหายที่
เกิดขึ้น

วันนี้ผมจะพาท่านรู้จักศัพท์คำใหม่ที่จะช่วยแก้ปัญหาหรือป้องกันสิ่งไม่พึ่งประสงค์ในขั้นตอนของการทำ DevOps นั่นคือ DevSecOps นั่นเอง

DevOps vs DevSecOps

จริงๆแล้วสองคำนี้มันไม่ได้มี Concept ที่แตกต่างกันเท่าไหร่
DevOps คือการใช้ Code วางขั้นตอนระเบียบ ในการ Deploy ระบบ ผลคือทำให้

• Smooth มากขึ้นและเร็วขึ้นเพราะลดขั้นตอนการใช้คน ไม่ต้องพึ่งคนในการ Run ค าสั่งต่างๆ
• ความผิดพลาดก็จะน้อยลงเพราะเราสามารถแทรกการทดสอบต่างๆ
• ลดค่าใช้จ่ายลดความเสี่ยงเพราะ ทั้ง Environment ต่างๆ เราควบคุมได้ ทำให้การ Deploy แต่ละครั้งจะไม่มีปัญหา Dependency ที่แตกต่างกันจนเกินไป

DevSecOps คือการ “เพิ่ม” ข้อบังคับเครื่องมือหรือขั้นตอน ด้านความปลอดภัยเข้าไปร่วมใน Flow ของ DevOps ด้วย ทำให้ขั้นตอนทั้งระบบ DevOps นั้น เร็ว มีประสิทธิภาพ และยังปลอดภัย

DevSecOps มีความสำคัญขนาดไหน เรามีความจำเป็นขนาดไหนที่ต้องคำนึงถึงมัน

ปัจจุบันเราอยู่ในยุค Digital Transformation คือยุคที่ไม่เพียงแค่เปลี่ยนจากเอกสารเป็น Digital เท่านั้น
Software ต่างๆเข้ามามีบทบาทสำคัญในธุรกิจใหม่ๆมากมาย ท าให้การ พัฒนา Software ต้องเร็วและถูกต้อง เราก็หนีไม่พ้น DevOps ที่เข้ามาทำให้ทุกอย่างเป็นไปได้ แต่ทั้งนี้ทั้งนั้น ความปลอดภัยก็ต้องคำนึงเช่นกัน ยิ่งระบบใหญ่ขึ้นมีประสิทธิภาพมากขึ้น การโจมตีแบบใหม่ ๆ ก็เกิดมากขึ้นเป็นเงาตามตัว ถ้าเราไม่คำนึงถึงความปลอดภัยเลยในทุกขั้นตอนเราอาจจะโดนซ่อนมีดที่รอเวลาทำลายระบบของเราโดยไม่รู้ตัว

จะเริ่ม DevSecOps ต้องทำอย่างไร ?

สมัยก่อน DevSecOps ยังต้อง Adapt tool ต่างๆรอบตัวมาใช้ไม่มี Tool เฉพาะแบบ 100% เช่นการทำ Source code Scanner มา Scan ทุกครั้งที่มีการ Commit Code ใหม่ หรือแม้กระทั่งการ ท า Local Repository ขึ้นมาเองและ Mirror lib ที่ปลอดภัยเข้ามาด้วยตัวเองแต่ปัจจุบันหากคุณมีการทำ DevOps อยู่แล้วไม่ว่าด้วย Tools อะไรก็ตามมี Tool ที่ออกแบบมาเฉพาะ การทำ DevSecOps มากมายที่รวมเอาสิ่งที่ต้องใช้ในการทำ DevSecOps อาทิเช่น

• Source Code Scanner เป็นตัว Check Quality ของ Source code ก่อนที่จะ Merge กับตัวหลัก
• Dependency Scanner เป็น Scan Dependency ก่อนที่จะ Pack เป็น Docker
• Node Scanner ระบบนี้จะจับเจอสิ่งแปลกๆใน Node หรือมี Config ที่แปลกไปจากเดิม เช่น Port ที่เปลี่ยนไปหรือมี connect ไประบบแปลกๆข้างนอก
• Node Firewall เป็น Firewall ระหว่าง Node ด้วยกันเอง ถ้า Node ไหนโดน Compromise แล้วยิง Package แปลกๆไป Node อื่นระบบนี้ก็จะจับเจอ
• Registry/Image Scanner เป็นตัว Scan register ว่ามี Image ไหนที่โดน Compromise หรือโดน Malware หรือไม่
• Malware footprint Database เป็นระบบที่รวบรวมร่องรอยของ malware แบบต่าง ๆและทำมาวิเคราะห์ร่วมกับระบบ Threat Detection ทุกระบบ
• Network Visualization ดูภาพรวมของ Network ในระบบ
• Compliance Validation คอยตรวจสอบว่าระบบเรา เข้ากันได้กับมาตรฐานที่กำหนดหรือไม่
  

หวังว่าทุกท่านจะเข้าใจในความเป็น DevSecOps กันมากขึ้นนะครับหลายคนอาจแค่ผ่านหูแต่จริงๆแล้วเป็นสิ่งที่สำคัญมาก ๆ เลยก็ว่าได้ เพราะมันจะช่วยให้องค์กรเราห่างไกลจากการโจมตีรูปแบบแปลก ๆ ได้แบบระยะยาวเลยทีเดียว

สำหรับท่านที่สนใจบริการของ Cloud HM สามารถติดต่อเราได้ผ่านช่องทางนี้นะครับ ขอบคุณครับ

Image Credit: https://securityvisit.com/apps-built-better-why-devsecops-is-your-security-teams-silver-bullet/

— Cloud HM