DevOps, günümüzün iş ortamında kritik bir rol oynamakta ve kuruluşların dijital dönüşüm projelerinin bu yeteneklere prim verdiği bir zamanda hızla otomatikleştirmelerini ve yenilik yapmalarını sağlamaktadır. Ancak DevOps’un faydaları, yalnızca ilgili güvenlik riskinin azaltılması düşünüldüğünde ve DevOps süreçlerine yerleştirildiğinde güvenilebilir.
Bu ruhla, DevOps iş adaylarına, onlarla röportaj yapan bir CISO olarak soracağım en önemli beş soruyu burada bulabilirsiniz. Sorulardaki ortak bir nokta, DevOps (veya DevSecOps, güvenlik hususlarını dikkate alarak) adaylarının kendilerini güvenlik riski yönetimine yardımcı olacak denklemin bir parçası olarak mı gördüklerinin yoksa daha dar bir şekilde sadece işlerini bir bilgisayardan yapmaya mı odaklandıklarının anlaşılmasına doğru ilerliyor. mühendislik ve BT bakış açısı.
1. DevOps’un Güvenlik Avantajları Nelerdir?
Sağlam bir DevOps işlemi birçok güvenlik riskini ele alabilir. Bunu anlayan ve ifade edebilen bir mühendise sahip olmak, inşa edilecek ortak bir zemin olduğunu ve bu mühendisin güvenlik ekibinin bir parçası olacağını bilmenizi sağlar. DevOps aracılığıyla otomasyon, geliştirme sürecine daha fazla güvenlik denetiminin eklenmesine olanak tanır; bu kontrollerin düzgün bir şekilde uygulanmasına ilişkin sorumluluğu, potansiyel olarak riski yaratan geliştirici ve mühendislere kaydırır. Bu sorumluluğun değerini anlayan ve sağlam yapılandırma yönetimi, erişim kontrolleri, sistem güçlendirme ve varlık envanteri gibi daha iyi kontrollerle bunun üzerine inşa eden adayların, bir yol bulmaya kıyasla kendilerine sunulan otomasyonu kullanma olasılıkları daha yüksektir. süreçler.
2. DevOps Modellerinde ve Ortamlarında Hangi Güvenlik Zorluklarıyla Karşılaştınız?
Her şey planlandığı gibi gitmez ve birçok kuruluş DevOps programlarını olgunlaştırmanın ilk aşamalarındadır. Adayın gördüğü ve üstesinden gelmesi gereken zorlukları anlamak, aday hakkında bilgi edinmenin ve başka yerlerde sorun gidermede başarılı olan yeni stratejileri potansiyel olarak toplamanın başka bir harika yoludur. Bu soru, adayın DevOps modellerinde güvenlik kavramlarının önemi hakkındaki anlayışının derinliğini özetleyebilir.
Sorun çözme yetenekleri herhangi bir rolde kilit öneme sahiptir ve bu, güvenlik istisnaları için işletmeden gelen isteklerde gezinme gibi zor senaryolar üzerinde çalışmayı gerektiren bir alanda özellikle geçerlidir. Aday, riski yeni kabul eden ve yoluna devam eden türden biri mi, yoksa risk ve iş ihtiyaçları arasında uygun dengeyi bulmak için istisnayı sorgulayıp doğru uzmanlığı mı kullandılar?
3. Güvenliği DevOps Yöntemlerine Entegre Etme Deneyiminiz Nedir?
İnsanların önceki bir rolde güvenliği DevOps’a nasıl entegre ettiğini duymak, görüşmecinin adaydan öğrenmesine ve potansiyel olarak bu içgörü ve yeteneklerin bazılarını kuruluşun kendi DevOps süreçlerine ve yaşam döngüsüne uygulamasına yardımcı olabilir. Aday, DevOps aracılığıyla güvenliği sağlamanın olgunluk eğrisinde çok daha ileride olan ve kuruluşunuz için çok yararlı olabilecek bir kuruluştan gelmiş olabilir.
Tersine, adayın güvenliği DevOps’a entegre etme deneyimi yoksa kırmızı bayrak olur. Giderek daha fazla güvenlik ekibi, güvenlik kontrollerini ve işlemlerini DevOps’a yerleştiriyor, bu nedenle bu soruyu yanıtlayabilmek ve DevOps araçlarının ve metodolojisinin nasıl daha iyi güvenlikle sonuçlandığına dair örneklerle konuşmak bir DevOps adayına düşüyor.
Bu aynı zamanda, adayın temel güvenlik kavramlarıyla ilgili ne kadar farkındalığa ve eğitime sahip olduğu konusunda bir fikir verir ve sıfırdan mı başlayacağınızı veya üzerine iyi bir temel oluşturup oluşturmayacağınızı belirlemenize yardımcı olur.
4. Açık Kaynak mı yoksa Ticari Araçlar mı Tercihiniz Var?
Benim için bu sorunun doğru cevabı, nüanslı, durumsal bir zihniyet sergilemek olacaktır. DevOps uygulayıcılarının, farklı araç türlerinin kullanımına ilişkin şirketin kültürünün, vizyonunun, yöntemlerinin ve politikalarının ne olduğunu anlamaları ve belirli bir kullanım durumu için doğru aracın ne olduğunu anlamaları önemlidir.
İdeal aday, hem açık kaynak hem de ticari araçlar konusunda deneyime sahip olacak, artıları ve eksileri anlayacak ve tüm bunları, kuruluşun yukarıda belirtilen hedeflerine dayalı olarak bu kararlar üzerinde nasıl çalışılacağı konusunda düşünceli bir yaklaşımla dikkate alacaktır. Duymak istemediğiniz şey, örneğin, açık kaynak araçları kullanma konusunda kararlı olan, çünkü daha sonra uymadıkları durumlar için araçları zorla beslemeye çalışacak, potansiyel olarak yeni veya ek güvenlik, uyumluluk, ve risk sorunları.
5. DevSecOps’un Dijital Dönüşümü Daha Çok Sağlayıcı veya Engelleyici Olduğunu Düşünüyor musunuz?
Çoğu dijital dönüşüm projesi hızlı bir şekilde hareket eder ve bir şirket için en son teknolojileri ve yetenekleri içerebilecek yeni fırsatları içerir. Eski modeller, dijital dönüşümü yeterince desteklemek için genellikle çok yavaş ve hantaldır. DevOps yöntemleri ve otomasyon yoluyla ne kadar çok engel kaldırılabilirse, organizasyonlar o kadar hızlı ve verimli bir şekilde dönüşüm gerçekleştirebilecektir.
Bununla birlikte, güvenlik sonradan düşünülemez. Güvenlik liderleri, DevSecOps’u (araya güvenlik ekleyerek) dijital dönüşümün etkinleştiricisi olarak gören ortaklar arıyor. Güvenliği dijital dönüşümün bir engelleyicisi olarak gören uygulayıcılar, güvenlik ekibiyle düzenli olarak kafa kafaya çarpışan kişilerdir. Tersine, projelerine güvenliği yerleştirmeye açık olan DevOps mühendisleri ve geliştiricileri, normal, günlük süreçlerinde güvenlik riskini azaltacak donanıma sahip olacaklardır.
Sonuç olarak, mevcut iş piyasası iş arayanlar için önemli avantajlar yaratsa da, güvenliği DevOps süreçlerine ve otomasyonuna dahil eden modellerle ilgili deneyime sahip adayları bulmak kesinlikle faydalı. Güvenliği kuruluşa taşımaktan ve onu iş etkinleştirici kılmaktan sorumlu bir kişi olarak, güvenlik ekibinizin bir parçası olarak çalışacak kişileri aramalısınız, bir zararı değil.