Son birkaç yılda, kuruluşlar önemli ölçüde bulut ortamlarını kullanımlarını %25’ten fazla artırdı. Bu genişleme, kuruluşların çalışanların iş açısından kritik uygulamalara mutfaklarından, yerel kafelerinden veya dünyanın diğer ucundan erişmesi gereken hibrit iş gücüne doğru kaymasıyla geldi. Bugün, uygulamaların çoğunun buluta taşındığı ve geliştiricilerin dakikalar içinde yeni uygulamalar oluşturup dağıtabilmesiyle bulutta yerel geliştirmenin popülerlik kazanmaya devam edeceği konusunda hiçbir tartışma yok. Aslında, Gartner 2021’de %30 olan yeni bulut iş yüklerinin %95’inden fazlasının 2025 yılına kadar bulut yerel platformlarda devreye alınacağını tahmin ediyor.
Ancak, herhangi bir geliştiriciye uygulama geliştirme/dağıtımda onları yavaşlatan tek yönün ne olduğunu sorarsanız, size tek bir kelime vereceklerdir: güvenlik. Uygulama geliştiricileri ve güvenlik ekipleri arasında uzun süredir devam eden ve iyi bilinen bir kopukluk var – geliştiricilerin uygulamalarının yavaşlatılmasını veya kullanıcı deneyiminin güvenlik protokolleri tarafından değiştirilmesini istemedikleri sürekli bir çekişme.
Bu sırada güvenlik ekipleri, bu uygulamaların kuruluşlarını daha fazla riske maruz bırakmamasını sağlamak için çalışıyor. Buna göre Palo Alto Networks’ün 2022 Siber Sırada Ne Var anketi, Baş bilgi güvenliği görevlilerinin (CISO’lar) %71’i, güvenliğin kuruluşlarında DevOps’u yavaşlattığı konusunda hemfikir. Peki, her iki grubu nasıl memnun ederiz ve güvenli uygulamalar sunmak için birlikte çalışmalarını sağlarız?
Kuruluşunuzun güvenlik ve DevOps ekipleri ortak hedefler belirleyerek ve bunları takip ederek silolar halinde çalışmak yerine birbirlerinin başarısını pekiştirebilir. Kullanıcı deneyimini veya devreye alma süresini etkilemeyen güvenli uygulamalar sunmak için her ekibin birlikte daha iyi çalışabileceği birkaç yolu burada bulabilirsiniz.
Shift-Sola Güvenlik Stratejinizi Birlikte Belirleyin
Sola kaymanın kuruluş için ne anlama geldiğine dair ortak bir anlayış oluşturun. En basit haliyle, güvenliği uygulama geliştirmenin sonuna değil ön saflarına yerleştirmek anlamına gelir. Bu yaklaşımla kuruluşlar, güvenlik açıklarının daha az karmaşık ve maliyetli olduklarında erkenden ele alınabileceği reaktif durumdan proaktif duruma geçerler. Bu karşılıklı anlayış, vizyonu, mülkiyeti/sorumluluğu, kilometre taşlarını ve ölçümleri özetleyen bir belge geliştirmek anlamına gelebilir. Bu şekilde, hem güvenlik hem de DevOps ekipleri, güvenliğin sonradan akla gelen bir şey olmadığını ve her ikisinin de uygulama güvenliğine daha bütünsel bir yaklaşım oluşturmak için uyumlu hale geldiğini taahhüt eder.
Kuruluşunuzda Yazılımın Nerede ve Nasıl Oluşturulduğunu Anlayın
Güvenliği sola kaydırmanın en büyük zorluklarından biri, yazılımın kuruluş içinde nasıl ve nerede oluşturulduğunu anlamaktır. Bu, şirketin büyüklüğü ve işin birden çok satıcıya yaptırılıp yaptırılmadığı gibi çeşitli değişkenler tarafından şekillendirilir. Örneğin, büyük bir kuruluş araştırma yapmak için muhtemelen birkaç aydan fazla zaman harcayacak ve sözleşmeleri gözden geçirmek için ek süre gerektirecektir. Belirlenmesi gereken temel öğeler insanlar, süreç ve teknolojidir:
- İnsanlar = kodu kim geliştiriyor
- Süreç = geliştirme dizüstü bilgisayarlarından üretime akış
- Teknoloji = süreci etkinleştirmek için kullanılan sistemler
Geliştirici Dostu Güvenlik Araçları
Geliştiricilere geliştirmenin başından itibaren kolay araçlar sağlamak ve uygulamak, güvenlik ekiplerinin DevOps ekiplerine uygulamalarının güvenlik duruşunu sahiplenmeleri için doğru araçlarla güçlendirmesini sağlar. Pratik ve göze batmayan güvenlik araçları, geliştiricilerin ardışık düzenlerine güvenlik enjekte etme istekliliğini ve yeteneğini önemli ölçüde artırır. Güvenlik profesyonelleri olarak, onları süreçlerini engellemeyen araçlarla donatmalı, bunun yerine uygulamalarının güvenli olduğu konusunda güvenle geliştirmeleri için onları güçlendirmeliyiz.
Bu adımları kuruluşunuz içinde uygulamak, geliştiriciler ve güvenlik ekipleri arasındaki uçurumu kapatmanın başlangıcıdır. Doğru yapılırsa ve her iki taraftan da tam katılım sağlanırsa, organik olarak bir kültür değişimi gerçekleşir. Geliştiriciler hız ve çeviklikle çalışmaya devam ederken güvenlik ekipleri, geliştiricilerin güvenliğin sorumluluğunu üstlenmelerine güvenmeye başlayacak. Sola kaydırarak, her iki ekip de organizasyonu daha iyi koruyacak ve genel güvenlik duruşunu güçlendirecek bir konuma geldi.