Güvenlik Ekipleri ve SRE’ler Aynı Şeyi İstiyor: Haydi Bunu Gerçekleştirelim

Erişim kontrolleri (veya SRE dünyasında bağımlılık kontrol sistemleri): Size bağımlılık kontrol sistemleri sağlamak için erişim kontrol sistemlerini kullanabilirsiniz. İnsanların ve sistemlerin dokunmamaları gereken şeylere dokunmasından kimse hoşlanmaz. Dikkatli bir tasarımla hem güvenlik ekipleri hem de SRE’ler için tek bir sistem oluşturabileceğimizi bu kadar az insanın fark etmesi şaşırtıcı – ve ben gelip bir SRE ekibine güvenlikle çalışmanın düşük, düşük fiyatı için bir bağımlılık kontrol sistemi sunduğumda Daha iyi erişim kontrolleri sayesinde onların anında en iyi arkadaşı oluyorum.

Ağ tasarımı: Mümkünse yetkisiz kişilerin erişim kontrollerine girmesini istemiyoruz. Örneğin, hizmet reddi (DoS) saldırılarını (ister dış saldırganlardan isterse hatalı yeniden deneme mantığı gibi şeyler nedeniyle kendi sistemlerinizden gelsin), ağ anlaşması için kaynakları bile tüketmeden önce kapatmak istiyoruz. Ve neden potansiyel saldırganlara bir güvenlik açığını arama veya bu kusurdan yararlanma şansı veresiniz ki? Ayrıca Amazon, bu ağ adresi çevirisi (NAT) ağ geçidi için çok fazla para talep ediyor. Envoy gibi kendi proxy’nizi çalıştırmak, çıkış kontrollerine sahip olacağınız (güvenliğin sevdiği) ve bunun için daha az ödeyeceğiniz anlamına gelir. SRE kesinlikle bu parayı başka bir şeye harcamak ister. Kim istemez ki?

Gözlenebilirlik: Her iki ekibimiz de farklı türlerde de olsa olayları tespit etmeye çalışıyor. Bir saldırganı takip etmek, hata ayıklamaktan biraz farklıdır, ancak bunların her biri için ihtiyaç duyduğunuz bilgiler (trafik akışı, izleme ve kilitlenme dökümleri gibi) büyük ölçüde örtüşür. Her iki ekip de bunun kapsamlı bir süreç olmasını istiyor ve ikimiz de gereksiz iş yapmak istemiyoruz.

Salıverme: Yamalama – özellikle öngörülebilir yamalama – birçok insanın başını belaya sokan şeydir. Üretim hizmetleri, yamalar konusunda güncel olmadıkları veya yalnızca kısmen yama uygulandıkları için saldırıya uğruyor. Yavaş ve kısmi yama yapma karmaşasına sahip olmak, saldırganlar olmasa bile çalıştırmak veya hata ayıklamak tam bir baş ağrısıdır.

Sürüm mühendisliği: Hızlı ve güvenli sürümler, olayları hızlı bir şekilde düzeltmenin yoludur; dolayısıyla sürüm hızı bir güvenlik özelliğidir.

Olay yanıtı: Yeterince söylendi.

Zahmeti ortadan kaldırmak: Teşekkür ederim, ikimizin de yapacak fazlasıyla işi var ve bir kriz anında hızlı hareket etmemiz gerekiyor.

Hata bütçesi: SRE’lerin (genellikle) sıfır olmayan bir hata bütçesi vardır. Bir güvenlik hatası hala bir güvenlik olayıdır. Bunun ortaya çıktığı yerlerden biri de küçük deneysel lansmanlardır; küçük bir deneysel güvenlik açığı, bir güvenlik görevlisi için hâlâ bir güvenlik açığıdır ve bunu istismar eden biri, lansman geri alındıktan sonra da hâlâ sorun olmaya devam etmektedir. Saldırgan hâlâ sistemde olabilir! Bunu akılda tutarak, güvenlik ekipleri lansmanlar konusunda SRE’lerden çok daha fazla endişe duyma eğilimindedir.

Ölçüm: Güvenlik ölçüm konusunda her zaman bu kadar iyi olamaz. Ölçmeye çalıştığımız şeylerin çoğu aktif olarak bizden saklanıyor ve neredeyse hiçbir zaman temel gerçekleri elde edemiyoruz, dolayısıyla bu bir zorluk olmaya devam ediyor.

Uyma: Çoğu mühendis nefret ediyor uymaMuhtemelen hem esnek olmadığı hem de bazen işe yaramaz göründüğü için. Ve ben de katılıyorum. Bununla birlikte, bazı kısımlar can sıkıcı olsa da yine de uyumluluğu sağlamak zorundayız çünkü çoğu uyumluluk çerçevesi için iki şeyden en az birinin doğru olduğu ortaya çıktı: insanlar bunu yaptığınız için size para verecek ve hükümetler olaya dahil olacak. eğer yapmazsan.

Saygı: İnsanlar farklı. Şirketler farklıdır. Bu bir hata değil, bir özelliktir. Güvenlik, mahremiyet, güven ve güvenlik konularında iyi bir iş çıkaracaksak ya da herhangi bir ürün veya sistem geliştireceksek, sorunları gerçek insanlar için çözmeliyiz; aksi takdirde hiçbir sorunu çözemeyiz.

İşbirliği: Bunu neden yapmamız gerektiği hemen belli olmasa bile birbirimizin işini geliştirebiliriz. Bunun işe yaramasının bir yolu, SRE ekiplerinin gerçekten yapmak istediği ancak daha önce önceliklendirilemediği ve güvenliğin kendi başına yapamadığı projelerin önceliğini yükseltmektir. Güvenlik, bunlara ortak projeler olarak ve şirket için kritik öneme sahip olarak yaklaşarak yardımcı olabilir. Kontrol panelleri ve izleme de işbirliği çabalarınızda büyük bir fark yaratabilir; güvenlik ekiplerinin ölçüm engellerini aşmalarına yardımcı olur ve SRE’lerin güvenliğin çalışmalarına ilişkin faydalı görünürlük elde etmelerini destekler. Ve unutmayın: Gösterge tabloları insanları bilgilendirmek veya onların bir şeyler bildiklerinden emin olmak için değildir. İhtiyacınız olan şey, insanların ona baktığında güvenlik açıklarını düzeltmek gibi şeyler yapabileceği bir kontrol panelidir.

Birbirimizi seçmek: Pek çok bilgi güvenliği sorumlusu (CISO) mühendis değildir ve bu nedenle mühendislerin kendileriyle çalışmayı istemesini nasıl sağlayacaklarını bilmiyorlar. Halihazırda CISO’nuzla yakın bir şekilde çalışmıyorsanız, güvenlik öncelikleri listesine bakıp “Hey, bazı sorunlarınızı çözebilirim” demenizi öneririm. Ekip olmayı ve yardım etmeyi çok isterler.