“Shift-left bảo mật” không phải là một khái niệm mới. Đây là khái niệm được hiểu rất chuyên sâu bởi nhiều kỹ sư trong ngành.
“Shift-left bảo mật” là triển khai các chính sách và biện pháp kiểm soát bảo mật ở giai đoạn đầu của quy trình phát triển phần mềm, mà không đợi đến khi thực sự xây dựng ứng dụng. Việc shift-left yêu cầu các nhà phát triển ứng dụng và nhóm DevOps của bạn coi bảo mật là một phần không thể thiếu trong các ứng dụng và quy trình của họ. Đặc biệt là kiểm tra bảo mật ở tất cả các giai đoạn của quy trình CI/CD. Từ đó tăng cường bảo mật cho ứng dụng của bạn khi chúng được đưa vào sản xuất.
Mặc dù đã có sự nhất trí về ý nghĩa của shift-left, vẫn còn nhiều tranh cãi xoay quanh vấn đề công cụ và cách tiếp cận nào thì phù hợp nhất. Phần lớn các cuộc thảo luận công khai tập trung vào các công cụ quét mã và vá lỗi tự động, hoặc các công cụ bảo mật mới được thiết kế dành riêng cho các ứng dụng và cơ sở hạ tầng hiện đại. Các công cụ như tường lửa ứng dụng web (WAF) thường bị bỏ qua. Mặc dù từ lâu chúng đã được sử dụng để thực thi các chính sách bảo mật run-time trong cả môi trường thử nghiệm và sản xuất. Tại sao vậy? Các công cụ bảo mật cũ có thực sự không có chỗ đứng trong doanh nghiệp ngày nay không? Không phải như vậy. Nhu cầu bảo vệ các ứng dụng doanh nghiệp khỏi các cuộc tấn công có chủ đích đang lớn hơn bao giờ hết, và đòi hỏi một cách tiếp cận nhiều lớp.
Shift-left có làm tăng khoảng cách giữa bảo mật và DevOps không?
Trước khi tìm hiểu sâu hơn vào chi tiết, chúng ta hãy đặt câu hỏi cơ bản hơn. Nếu shift-left bảo mật là điều nên làm, thì tại sao chúng ta vẫn chưa làm điều đó? Nó liên quan đến việc các doanh nghiệp quản lý cơ sở hạ tầng và ứng dụng truyền thống của họ: tập trung, do nhóm NetOps, và đội ngũ IT hạ tầng & vận hành. Theo mô hình đó, việc củng cố việc thực thi bảo mật ở rìa của hạ tầng – cũng là quản lý tập trung – nơi các ứng dụng được triển khai là điều hợp lý.
Tuy nhiên, khi các doanh nghiệp hiện đại bắt đầu thực hiện chuyển đổi số để trở nên hiệu quả và nhanh nhẹn hơn, mọi thứ có xu hướng phi tập trung. Việc phát triển ứng dụng không còn tập trung, cơ sở hạ tầng cơ bản dành cho ứng dụng cũng phân tán, hoạt động phân cấp (và shift-left) và bản thân các ứng dụng phân cấp thành một tập hợp các dịch vụ, điểm cuối và thiết bị tương tác qua API trên mạng. Tất cả các hạng mục này thường được quản lý bởi các nhóm Dev/DevOps, và không thuộc phạm vi của đội hạ tầng truyền thống và tập trung.
Sự phi tập trung đã dẫn đến các tranh luận về việc đặt bảo mật trở thành trung tâm của ứng dụng, và đưa vào trong quá trình phát triển ứng dụng sớm hơn, bởi vì hiện tại không thể dựa vào người gác cổng tập trung ở biên. Thật không may, việc phân cấp đã dẫn đến những xung đột đáng kể giữa đội ngũ Dev/DevOps và đội ngũ Bảo mật.
Nguồn gốc của xung đột này là gì?
Phần lớn là do quá trình chuyển đổi không diễn ra với tốc độ giống nhau giữa các đội ngũ IT. Sân chơi của bảo mật đã biến đổi từ ‘một vành đai ứng dụng bao quanh một trung tâm dữ liệu’ thành ‘một bề mặt tấn công rất lớn và khó xác định được tạo thành từ tải công việc của các ứng dụng hiện đại chạy ở nhiều vị trí khác nhau’. Chúng giao tiếp với nhau qua mạng (thường là công khai), và lấy dữ liệu từ các thiết bị và người dùng trên toàn cầu.
Việc shift-left cũng mở rộng đáng kể đối tượng mà đội ngũ bảo mật phải tương tác. Nhiều người trong số đó bị hạn chế về nhận thức bảo mật. Trong khi đó ngân sách cho đội ngũ bảo mật không hẳn được đầu tư nhiều. Thêm vào đó, nhiều công cụ cũ quen thuộc với đội ngũ bảo mật đã không hoàn toàn chấp nhận khái niệm shift left. Điều đó khiến các đội kỹ sư không còn lựa chọn nào khác ngoài việc thử đưa chúng vào quy trình, mặc dù chúng không được thiết kế để tự động hóa và hạ tầng hiện đại. Các công cụ thường không được tự cung cấp dịch vụ. Vì thế, đội ngũ Dev và DevOps – được yêu cầu phải phát triển nhanh nhưng buộc phải đợi đội bảo mật thực hiện các thay đổi chính sách – thường xem bảo mật như một rào cản tốc độ và thường cố gắng tìm cách vượt qua nó.
Cách nhìn của đội DevOps về đội Bảo mật & ngược lại
Giúp thu hẹp khoảng cách giữa DevOps và Bảo mật bằng các công cụ bảo mật phù hợp
Quay trở lại câu hỏi ban đầu, liệu các công cụ bảo mật như WAF có vai trò gì trong câu chuyện bảo mật shift-left không? Câu trả lời là có. Như đã đề cập ở trên, bạn cần một giải pháp để bảo vệ các ứng dụng và API của mình khỏi các cuộc tấn công có chủ đích, cũng như đảm bảo các ứng dụng của bạn đáp ứng các yêu cầu về quản lý rủi ro và tuân thủ.
Nhưng để có hiệu quả, bản thân WAF cần phải phát triển và shift-left. Một WAF trọng lượng nhẹ dễ dàng triển khai trong nhiều môi trường và được tối ưu hóa cho cơ sở hạ tầng, cũng như các quy trình hiện đại, cho phép bạn kiểm tra mức độ hiệu quả của các chính sách bảo mật trong quá trình xây dựng và các giai đoạn thử nghiệm chức năng của các thành phần ứng dụng và API, trước khi các ứng dụng chạy trong môi trường vận hành. Điều quan trọng là tìm một WAF tự động hóa các chính sách và cấu hình bảo mật để bạn có thể dự phòng trong quy trình của mình. Bạn sẽ không bao giờ có đủ nhân viên bảo mật, vì vậy tự động hóa chính là bạn đồng hành của bạn trong một môi trường phi tập trung.
Shift-left thành công với các công cụ phù hợp và hàng rào bảo vệ tại chỗ
Tuy nhiên, việc tìm đúng WAF và shift-left chỉ là một phần của câu chuyện. Bất đồng giữa các đội ngũ IT trong một doanh nghiệp hiện đại không chỉ vì các quy trình và kiểm soát bảo mật đã lỗi thời, mà còn là cơ chế bảo mật đang đáp ứng nhu cầu của doanh nghiệp được chuyển giao cho đội ngũ Dev/DevOps như thế nào. Một điều đáng cân nhắc chính là đội ngũ bảo mật cần xây dựng các hàng rào, chứ không phải cổng vào cho các quy trình phát triển.
Hiện nay, bảo mật được xem là yếu tố gây gián đoạn khi đội ngũ bảo mật yêu cầu quá trình phát triển ứng dụng phải dừng lại khi họ thực hiện kiểm tra và đánh giá các chính sách và quy trình bảo mật. Đội Dev/DevOps sẽ vui hơn nhiều nếu đội bảo mật cung cấp các hướng dẫn cho phép quá trình phát triển ứng dụng được diễn ra, trong khi vẫn đảm bảo quá trình đó diễn ra một cách an toàn. Nói cách khác, bản thân bảo mật phải trở nên ‘liên tục’ như các phần khác trong quy trình CI/CD của bạn.
Một cách để đạt được điều này là chọn các công cụ bảo mật có thể được chèn vào quy trình dưới dạng mã.
Nhưng nó cũng yêu cầu đội ngũ bảo mật thay đổi cách họ nghĩ về các quy trình bảo mật cho các ứng dụng ngày càng phi tập trung và phân tán hiện này. Bản thân các quy trình bảo mật cần phải phát triển, trở nên tập trung vào ứng dụng hơn nhiều và shift-left để đáp ứng với nhiều yếu tố: từ đối tượng của ứng dụng, cách ứng dụng được xây dựng, ứng dụng được triển khai trong môi trường nào và các yêu cầu tuân thủ tiêu chuẩn.
Một mặt phẳng điều khiển để phối hợp bảo mật trên nhiều ứng dụng thực sự có thể gia tăng giá trị trong môi trường như vậy. Nó giúp đội bảo mật dễ dàng thiết lập các nguyên tắc phù hợp, sau đó sẽ khớp với các ứng dụng cơ bản dựa trên các tham số do đội bảo mật đặt. Hàng rào bảo mật cho phép đội ngũ Dev/DevOps và bảo mật làm việc cùng nhau, và ít bị gián đoạn nhất có thể.
Kết luận
Một sự thật không thay đổi về bảo mật ứng dụng là không có cách tiếp cận nào phù hợp cho tất cả. Và cách tiếp cận tốt nhất cho doanh nghiệp của bạn là bao gồm nhiều lớp bảo mật. Điều quan trọng là phải đảm bảo từng giải pháp bảo mật phù hợp với quy trình của bạn. Đồng thời, đội ngũ phát triển ứng dụng và đội ngũ bảo mật phải cùng thống nhất về các hướng dẫn đảm bảo bảo mật cho ứng dụng và API của doanh nghiệp bạn.
NGINX App Protect là một WAF tinh giản, hiện đại, được triển khai như một mô-đun động với NGINX Plus. Nó tự động hóa các chính sách và cấu hình bảo mật để bạn có thể đáp ứng chúng trong các quy trình CI/CD của mình. Với việc bổ sung NGINX Controller App Security vào Mô-đun Controller Application Delivery, bạn có thể dễ dàng tạo lớp bảo mật, quyền truy cập tự phục vụ và thông tin chuyên sâu về bảo mật cho các ứng dụng mà nhóm Dev và DevOps của bạn đang triển khai.
Tìm hiểu thêm làm sao để lựa chọn WAF phù hợp cho doanh nghiệp của bạn, tải ngay ebook tại đây.
Về Exclusive Networks:
Exclusive Networks là nhà phân phối giải pháp an ninh mạng và điện toán đám mây toàn cầu. Phương châm là “tạo ra giá trị đích thực”, đem đến những giải pháp công nghệ phù hợp trong kỷ nguyên kỹ thuật số. Với portfolio phân phối những giải pháp công nghệ tốt nhất, cùng đội ngũ chuyên gia nhiều kinh nghiệm, dịch vụ chuyên nghiệp, có văn phòng tại 43 quốc gia, cung cấp dịch vụ cho khách hàng trên 170 quốc gia, Exclusive Networks áp dụng mô hình độc nhất “quy mô chuẩn quốc tế, kinh doanh chuẩn quốc gia” để tạo ra nhiều giá trị và hỗ trợ đối tác tiếp cận đến khách hàng trên toàn thế giới, trong khi vẫn đảm bảo tính phù hợp với mô hình kinh doanh của từng quốc gia, khu vực. Tìm hiểu thêm về Exclusive Networks tại www.exclusive-networks.com/vn