Avertissement : Ce texte n’est pas une déclaration religieuse, mais simplement une analogie visant à illustrer l’impact du DevSecOps sur la culture d’ingénierie, tant en interne chez PagerDuty que plus largement auprès de nos plus de 10 000 clients.

Levez la main si vous croyez au DevOps ! Merci, je vois cette main. En tant qu'ancien organisateur des DevOpsDays de Toronto (2014-2016), on peut dire que j'ai été un fervent partisan du DevOps dès le début. Mais grâce aux recherches exceptionnelles de la DevOps Research Association (DORA) et à de nombreux autres travaux, j'ai pu progresser. État des lieux du DevOps D'après les rapports précédents, la culture DevOps est beaucoup moins un combat religieux qu'elle ne l'a été par le passé.

Quelques désaccords persistent, notamment concernant l'importance excessive accordée à l'automatisation du déploiement et… absence de transformation dans la propriété des services Mais globalement, parler de DevOps aux développeurs et aux ingénieurs d'exploitation aujourd'hui, c'est comme prêcher des convaincus. Ils se sont recentrés sur les résultats clients et, de ce fait, ils sont capables de répondre aux besoins des clients et de déployer des changements plus rapidement que jamais. Du moins, ils devraient l'être… sans les « gardiens du temple », autrement dit l'équipe du « non », autrement dit l'équipe de sécurité. Je ne cherche absolument pas à diaboliser les équipes de sécurité ; elles poursuivent un objectif unique et ambitieux (« Tu ne seras pas compromis ») et doivent faire face à de nombreux obstacles. La croissance fulgurante d'AWS témoigne d'une adoption massive du cloud, entraînant une surface d'attaque plus importante, des hypothèses de sécurité différentes et de nombreuses menaces de cybersécurité. Les équipes s'y tournent en masse en raison des possibilités d'automatisation et d'autonomie offertes, ce qui leur permet de répondre aux exigences des clients qui nécessitent une grande réactivité et, souvent, une réponse en temps réel.

À l'instar des équipes opérationnelles qui les ont précédées, les équipes de sécurité ont traditionnellement manifesté une certaine réticence au changement. Le changement est source d'échecs et de risques. Or, pour faire progresser l'entreprise, il est indispensable de changer. Afin de garantir que les changements soient acceptables en termes de risques, d'innombrables listes de contrôle et règles ont été mises en place : « Il est interdit d'analyser les entrées utilisateur sans vérifier les risques d'injection de code », « Il est interdit d'effectuer des requêtes HTTP sans SSL », « Il est interdit de déployer un nouveau service sans test d'intrusion », « Il est interdit d'utiliser des bibliothèques open source », etc.

Je compare cela aux Dix Commandements de l'Ancien Testament. Avoir des règles est une bonne chose, mais l'esprit de la loi se perd souvent et, finalement, on trouve de nouvelles façons de l'obéir sans en saisir le sens profond. Autrement dit, les développeurs contourneront vos barrières si celles-ci les empêchent de servir les clients. Or, la sécurité ne devrait-elle pas nous permettre de mieux servir nos clients ?

Alors, faut-il jeter les listes de contrôle aux oubliettes et laisser le chaos s'installer ? Certainement pas ! Le christianisme enseigne que Jésus n'est pas venu abolir la loi, mais l'accomplir. De même, la bonne nouvelle du DevSecOps (dont le nom signifie simplement « bonne nouvelle ») est qu'il y a de l'espoir si nous avons une vision unique et partagée, à l'échelle de l'entreprise, de l'amour du client. Cela signifie que les équipes de sécurité et les développeurs partagent une vision et un langage communs pour évaluer le rapport risque/valeur. Cela signifie Les équipes de sécurité impliquent les développeurs plus tôt Il est essentiel de détecter les problèmes de sécurité critiques pendant que les développeurs travaillent, afin de garantir un retour d'information rapide. Et, au final, cela implique un partage des responsabilités en matière de sécurité.

L'union de PagerDuty et DevSecOps

Comment vous fabriquons-nous ? réussi avec une culture DevSecOps Pour PagerDuty, cela signifie s'unir à nos partenaires. En plus du déploiement de notre version améliorée Intégration d'Amazon GuardDuty Des partenaires de sécurité comme Sumo Logic, Dome9, Threat Stack et Twistlock nous aident à développer notre écosystème de plus de 300 intégrations.

Logique du sumo Sumo Logic vous aide à surveiller en temps réel les indicateurs de sécurité clés et les indicateurs de compromission (IOC), en transmettant des alertes exploitables à PagerDuty pour une intervention humaine immédiate. De plus, la combinaison des volumes considérables de données de journalisation de sécurité de Sumo Logic et des données de surveillance détaillées de PagerDuty vous fournit le contexte nécessaire pour réduire les délais d'investigation des incidents et simplifier la gestion de la conformité.

Dôme 9 Dome9 permet d'intégrer la sécurité et la conformité dès les premières étapes du cycle de vie du développement et du déploiement logiciel, en utilisant PagerDuty pour prioriser et résoudre les problèmes, qu'il s'agisse d'une correction urgente avant la mise en production ou d'un défaut à corriger ultérieurement. Grâce à Dome9 et PagerDuty, vous pouvez impliquer les développeurs de manière plus efficace et proactive afin de résoudre plus rapidement les problèmes de conformité et de garantir un niveau de sécurité optimal.

Threat Stack offre une plateforme de sécurité cloud permettant de détecter rapidement les comportements non sécurisés des systèmes et des utilisateurs, et s'appuie sur PagerDuty pour boucler la boucle de rétroaction en intervenant sur les incidents de sécurité avant qu'ils ne deviennent catastrophiques. La maîtrise de vos opérations implique que la sécurité soit une priorité absolue ; c'est pourquoi des plateformes comme Threat Stack et PagerDuty fonctionnent si bien ensemble pour répartir les responsabilités en matière de sécurité.

Verrouillage par rotation PagerDuty assure la sécurité des conteneurs pour les plateformes cloud en détectant les vulnérabilités et en incitant les développeurs à les exploiter avant qu'elles ne soient mises en œuvre. Il offre également une protection en temps réel aux hôtes, conteneurs et fonctions en surveillant activement les menaces et en transmettant les alertes à PagerDuty pour une intervention immédiate.

Avec nos partenaires, nous voulons voir Les organisations adoptent le DevSecOps Pour que vous puissiez continuer à mieux servir vos clients. Accélérer le rythme ne signifie pas négliger la sécurité : tout commence par un dialogue constructif et la recherche d’un terrain d’entente. Oubliez les règles (le « comment ») et concentrez-vous sur le sens profond (le « pourquoi »). Amen.

Venez nous parler à re:Invent
En tant que partenaire avancé du réseau de partenaires AWS et expert en DevOps, PagerDuty est ravi de participer à re:Invent avec AWS afin de présenter ces nouvelles intégrations à nos clients communs. Si vous êtes à Las Vegas cette semaine, venez nous rencontrer sur le stand 1023.

Vous ne comptez pas participer à re:Invent ? PagerDuty propose un essai gratuit de 14 jours et peut être obtenu via le AWS Marketplace Vous pouvez également en savoir plus sur ces sujets. Intégrations pour AWS ici .