Ketegangan antara pengembang dan keamanan (terbuka di tab baru) sering dibicarakan dan membuat kedua belah pihak bekerja sama mungkin terdengar aneh. Tapi “bergeser ke kiri” bisa membuat perbedaan nyata, memindahkan keamanan dari akhir siklus hidup pengembangan perangkat lunak ke titik awal dalam proses. Dengan menggunakan alat keamanan sebagai bagian dari jalur pengembangan, pengembang dapat mengakhiri mimpi buruk mereka dalam mencoba memilah keamanan siber (terbuka di tab baru) kekurangan pada akhir proses pengembangan. Trik ini tidak hanya membebaskan waktu bagi pengembang tetapi juga mendorong efisiensi di seluruh organisasi.
Tentang Penulis
Ashley Ward adalah Direktur Teknik, Kantor CTO di Palo Alto Networks (terbuka di tab baru).
Potensi peningkatan kesadaran dan proses keamanan di DevOps (terbuka di tab baru) jelas ketika Anda mempertimbangkan betapa mendasar tetapi kelemahan serius di cloud (terbuka di tab baru) keamanan terus menjadi masalah. Misalnya, Laporan Ancaman Cloud terbaru dari tim intelijen ancaman kami, Unit 42, mengungkapkan keamanan siber yang buruk dalam perangkat lunak dan infrastruktur berbasis cloud; 74% penginstalan cloud yang mereka periksa menjalankan beban kerja di Google Cloud dengan hak istimewa admin yang tidak cukup aman.
“DevSecOps” adalah istilah yang merangkum perubahan budaya yang perlu terjadi untuk mengakhiri ini dan kekurangan lainnya. Dengan DevSecOps, tim membuat aplikasi (terbuka di tab baru) seharusnya tidak hanya mengetahui bagaimana kode dikembangkan dan diterapkan di cloud dan di tempat lain, tetapi juga bagaimana kode tersebut diamankan dalam operasi. DevSecOps berarti menyematkan keamanan ke dalam segala hal sehingga semua titik kontak di seluruh siklus hidup pengembangan perangkat lunak mengandung elemen keamanan dan diperhitungkan.
Tujuan DevSecOps adalah membuat proses DevOps dan keamanan jauh lebih efisien dan memungkinkan untuk menemukan kemungkinan masalah jauh lebih awal.
Membuka jalur komunikasi
Jadi dengan pemikiran ini, apa elemen penting untuk sukses? Salah satu yang jelas adalah bagaimana mendobrak penghalang yang ada antara tim pengembangan dan keamanan dengan cara yang positif, memungkinkan lebih banyak kolaborasi (terbuka di tab baru) dan komunikasi. Ada beberapa pendekatan seperti menyematkan petugas keamanan dalam tim pengembangan atau melatih pengembang tentang praktik terbaik keamanan. Apapun pendekatan yang dipilih, langkah penting adalah mengatasi hambatan komunikasi. Kesalahpahaman yang umum adalah bahwa keamanan hanya tentang mengatakan tidak—untuk permintaan apa pun—atas nama mengurangi risiko. Dari perspektif keamanan, ada kesalahpahaman lain bahwa pengembang hanya peduli tentang pengiriman kode, dan keamanan kurang berarti bagi mereka. Tidak ada sudut pandang yang secara fundamental benar.
Seperti orang lain, petugas keamanan ingin melihat perusahaan berhasil, dan melihat hal-hal keren terjadi. Pengembang juga peduli lebih dari sekadar pengiriman kode; ditambah mereka tahu bahwa jika sesuatu yang buruk terjadi, ada implikasi signifikan yang ingin mereka hindari.
Meskipun jalur komunikasi terbuka dan saling pengertian adalah kuncinya, sama pentingnya bahwa tim DevSecOps memiliki perangkat yang terintegrasi serupa dan mampu melacak dan menangani perubahan yang mungkin terjadi di organisasi Anda. Apakah kita berbicara tentang perubahan pada penyedia cloud, tumpukan penerapan, atau yang lainnya, ada kebutuhan yang jelas untuk memiliki platform yang akan berfungsi di mana pun Anda berada—di cloud atau di lokasi.
Riset dari Laporan Ancaman Cloud kami juga menemukan bahwa 30% dari semua organisasi menghosting data sensitif di cloud tanpa kontrol keamanan yang tepat. Pandemi dan peralihan langsung dan besar ke pekerjaan jarak jauh selama setahun terakhir hanya memperkuat kebutuhan akan keamanan cloud, karena karyawan di seluruh jajaran terus bekerja dari rumah dan terhubung ke cloud dari mana saja. Tanpa disadari sepenuhnya dan dalam banyak kasus karena kurangnya pembatasan kontrol akses yang efektif, organisasi ini menempatkan informasi yang dapat diidentifikasi secara pribadi dan aset penting lainnya dalam risiko. Risiko ini dapat diatasi oleh alat otomatisasi keamanan cloud yang mengaudit kekeliruan seperti kontrol akses yang tidak dikonfigurasi dengan benar.
Ini membantu bahwa pendekatan pengembangan cloud native melepaskan cara baru untuk memberikan keamanan. Saat ingin membangun atau memperluas tim, mempekerjakan teknisi keamanan yang memahami pengembangan cloud-native dapat membantu pemrogram membangun aplikasi yang aman adalah bagian penting dari teka-teki ini. Memiliki karyawan yang berpengalaman dalam pengembangan cloud-native dapat membantu membuka jalur komunikasi dan membangun jembatan antara developer dan tim keamanan.
Berbicara tentang teknologi, sekarang ada alat yang tersedia untuk memindai masalah keamanan dari layar kode pengembang hingga memindai dan melindungi lingkungan produksi secara otomatis. Selain itu, fondasi kesadaran dan visibilitas keamanan yang baik adalah entitas pengguna dan analitik perilaku (terbuka di tab baru) yang selanjutnya dapat membantu meminimalkan risiko.
Meskipun alat merupakan elemen penting untuk mengaktifkan DevSecOps, masih ada tantangan lain yang harus diselesaikan. Ini termasuk “unknown unknowns” yang dihadapi organisasi saat mereka mempercepat transformasi digital mereka. Misalnya, organisasi secara keseluruhan bergegas untuk meningkatkan lingkungan cloud mereka sebagai respons terhadap pandemi tahun lalu. Namun, ketika terburu-buru melakukannya, banyak yang tidak meningkatkan proses keamanan dan tata kelola mereka pada waktu dan kecepatan yang sama. Hal ini mengakibatkan ledakan insiden keamanan cloud di berbagai wilayah dan industri. Sangat penting bagi organisasi untuk mengambil langkah yang tepat untuk menutup kerentanan yang terus mengintai untuk mencoba mencegah sebanyak mungkin “ketidaktahuan yang tidak diketahui” muncul.
Membingkai ulang pola pikir untuk kolaborasi yang sukses
Mungkin kesulitan terbesar yang dihadapi organisasi ketika mencoba memasukkan keamanan ke dalam pengembangan adalah terlalu seringnya setiap orang menginginkan jawaban yang mudah. Dengan kata lain, ‘keamanan yang cukup baik’ tetapi itu bukanlah ide yang bagus. Menantang hal ini membutuhkan usaha keras dalam bagaimana pola pikir keamanan organisasi memperjelas bahwa akan ada beberapa pekerjaan di pihak semua orang. Tidak ada jalan tengah yang mudah dalam hal ini.
Bergeser ke kiri dan mengolah DevSecOps akan memakan waktu. Ada tugas ganda untuk berinvestasi pada alat yang memungkinkan pengembang dan tim keamanan bekerja sama; dan melakukan upaya nyata untuk menghapus hambatan komunikasi, mengembangkan budaya yang tepat, dan menetapkan proses yang memungkinkan pengembang dan profesional keamanan bekerja sama untuk tujuan bersama. Penting untuk diingat bahwa cloud yang aman tidak mungkin dilakukan kecuali jika organisasi bergeser ke kiri dan sepenuhnya merangkul DevSecOps.
