公開日: 2020-10-30 • 読了時間: 9分

クラウドネイティブのエンタープライズ システムにおける DevSecOps

クラウドネイティブ ソフトウェア アーキテクチャでは、セキュリティは、運用環境の展開直前に処理される最終ゲートキーパー フェーズになることはできません。高度に自動化された環境では、セキュリティを開発サイクルに直接組み込む必要があります。これは DevSecOps として知られる実践です。

セキュリティ左派へのシフト

「シフトレフト」セキュリティとは、ライフサイクルのできるだけ早い段階でセキュリティ制御を実行することを意味します。外部の監査や侵入テストを待つ代わりに、開発者のコミット中にコードと構成の脆弱性が継続的にチェックされます。

DevSecOps パイプラインの構築

復元力のあるクラウドネイティブ セキュリティ パイプラインの特徴:

• 静的アプリケーション セキュリティ テスト (SAST): ソース コードを自動分析してセキュリティ バグを検出します。
• 依存関係スキャン: オープンソース ライブラリを追跡して、古いコンポーネントや脆弱なコンポーネントを特定してブロックします。
• コードとしてのインフラストラクチャ (IaC) スキャン: プロビジョニング前に、開いているポートまたは暗号化されていないストレージのクラウド構成スクリプト (Terraform など) を監査します。

継続的な運用フィードバック ループ

DevSecOps は、展開で終わる一方通行ではありません。成熟した DevSecOps モデルは、本番環境の脅威インテリジェンスを開発に結び付けます。監視ツールが本番環境で新たな脅威や異常な動作を検出すると、チケットが自動的に生成され、開発者のバックログにルーティングされます。

拡張可能なコンプライアンスの確保

スキャン プロセスとフィードバック ループを自動化することで、企業は社内の安全規制に違反することなくコードを毎日リリースできます。セキュリティ チームは手動のゲートキーパーからポリシー設計者に移行し、エンジニアリングの速度を向上させるツールと自動化されたパイプラインを提供します。