Güvenlik Ekipleri ve SRE’ler Aynı Şeyi İstiyor: Haydi Bunu Gerçekleştirelim


YORUM

Güvenlik ekipleri ve site güvenilirliği mühendisleri (SRE’ler), rastgeleliğe, berbat sistemlere ve bu sistemlerin insanlara nasıl zarar verebileceğine ve bize sürprizlerden nefret etmemiz için başka bir neden verebileceğine karşı mücadelede doğal müttefiklerdir. Peki ilgi alanlarımız nerede örtüşüyor ve ekiplerimizi optimize etmek için bundan nasıl yararlanabiliriz?

Ben bir SRE değilim, ancak birden fazla SRE ekibiyle çok yakın çalışma şansına sahip oldum ve onlarla ne kadar çok iş yaptıysam, her birinin güvenliğin ve SRE’nin ne istediğinin o kadar çok farkına vardım. en az %90 örtüşüyor.

Güvenlik ekipleri SRE’lerin sisteme karşı etkili bir şekilde koruma sağladığı kötü niyetli düşmanlara karşı koruma sağlayın oyunculuk kötü niyetli bir düşman gibiyiz ve eğer birlikte çalışırsak ileriyi planlayabilir, mükerrer işlerden kaçınabilir ve sonuçta daha iyi bir iş elde edebiliriz.

Aslında Pek Çok Ortak Noktamız Var

Biz doğal müttefikiz çünkü aynı şeylerin çoğunu istiyoruz. Her ne kadar hemen belli olmasa da, SRE’ler ve güvenlik ekiplerinin birbiriyle örtüşen birçok önceliği var:

  • Erişim kontrolleri (veya SRE dünyasında bağımlılık kontrol sistemleri): Size bağımlılık kontrol sistemleri sağlamak için erişim kontrol sistemlerini kullanabilirsiniz. İnsanların ve sistemlerin dokunmamaları gereken şeylere dokunmasından kimse hoşlanmaz. Dikkatli bir tasarımla hem güvenlik ekipleri hem de SRE’ler için tek bir sistem oluşturabileceğimizi bu kadar az insanın fark etmesi şaşırtıcı – ve ben gelip bir SRE ekibine güvenlikle çalışmanın düşük, düşük fiyatı için bir bağımlılık kontrol sistemi sunduğumda Daha iyi erişim kontrolleri sayesinde onların anında en iyi arkadaşı oluyorum.

  • Ağ tasarımı: Mümkünse yetkisiz kişilerin erişim kontrollerine girmesini istemiyoruz. Örneğin, hizmet reddi (DoS) saldırılarını (ister dış saldırganlardan isterse hatalı yeniden deneme mantığı gibi şeyler nedeniyle kendi sistemlerinizden gelsin), ağ anlaşması için kaynakları bile tüketmeden önce kapatmak istiyoruz. Ve neden potansiyel saldırganlara bir güvenlik açığını arama veya bu kusurdan yararlanma şansı veresiniz ki? Ayrıca Amazon, bu ağ adresi çevirisi (NAT) ağ geçidi için çok fazla para talep ediyor. Envoy gibi kendi proxy’nizi çalıştırmak, çıkış kontrollerine sahip olacağınız (güvenliğin sevdiği) ve bunun için daha az ödeyeceğiniz anlamına gelir. SRE kesinlikle bu parayı başka bir şeye harcamak ister. Kim istemez ki?

  • Gözlenebilirlik: Her iki ekibimiz de farklı türlerde de olsa olayları tespit etmeye çalışıyor. Bir saldırganı takip etmek, hata ayıklamaktan biraz farklıdır, ancak bunların her biri için ihtiyaç duyduğunuz bilgiler (trafik akışı, izleme ve kilitlenme dökümleri gibi) büyük ölçüde örtüşür. Her iki ekip de bunun kapsamlı bir süreç olmasını istiyor ve ikimiz de gereksiz iş yapmak istemiyoruz.

  • Salıverme: Yamalama – özellikle öngörülebilir yamalama – birçok insanın başını belaya sokan şeydir. Üretim hizmetleri, yamalar konusunda güncel olmadıkları veya yalnızca kısmen yama uygulandıkları için saldırıya uğruyor. Yavaş ve kısmi yama yapma karmaşasına sahip olmak, saldırganlar olmasa bile çalıştırmak veya hata ayıklamak tam bir baş ağrısıdır.

  • Sürüm mühendisliği: Hızlı ve güvenli sürümler, olayları hızlı bir şekilde düzeltmenin yoludur; dolayısıyla sürüm hızı bir güvenlik özelliğidir.

  • Olay yanıtı: Yeterince söylendi.

  • Zahmeti ortadan kaldırmak: Teşekkür ederim, ikimizin de yapacak fazlasıyla işi var ve bir kriz anında hızlı hareket etmemiz gerekiyor.

Yukarıdakiler, SRE’ler ve güvenlik ekiplerinin örtüştüğü pek çok yöntemin kapsamlı bir listesi bile değildir. Peki farklı olan ne? İşte birkaç şey:

  • Hata bütçesi: SRE’lerin (genellikle) sıfır olmayan bir hata bütçesi vardır. Bir güvenlik hatası hala bir güvenlik olayıdır. Bunun ortaya çıktığı yerlerden biri de küçük deneysel lansmanlardır; küçük bir deneysel güvenlik açığı, bir güvenlik görevlisi için hâlâ bir güvenlik açığıdır ve bunu istismar eden biri, lansman geri alındıktan sonra da hâlâ sorun olmaya devam etmektedir. Saldırgan hâlâ sistemde olabilir! Bunu akılda tutarak, güvenlik ekipleri lansmanlar konusunda SRE’lerden çok daha fazla endişe duyma eğilimindedir.

  • Ölçüm: Güvenlik ölçüm konusunda her zaman bu kadar iyi olamaz. Ölçmeye çalıştığımız şeylerin çoğu aktif olarak bizden saklanıyor ve neredeyse hiçbir zaman temel gerçekleri elde edemiyoruz, dolayısıyla bu bir zorluk olmaya devam ediyor.

  • Uyma: Çoğu mühendis nefret ediyor uymaMuhtemelen hem esnek olmadığı hem de bazen işe yaramaz göründüğü için. Ve ben de katılıyorum. Bununla birlikte, bazı kısımlar can sıkıcı olsa da yine de uyumluluğu sağlamak zorundayız çünkü çoğu uyumluluk çerçevesi için iki şeyden en az birinin doğru olduğu ortaya çıktı: insanlar bunu yaptığınız için size para verecek ve hükümetler olaya dahil olacak. eğer yapmazsan.

Gördüğünüz gibi ortak öncelikler listemiz farklılıklar listemizden çok daha uzun. Peki birlikte nasıl çalışırız ve organizasyonel verimliliğimizi nasıl optimize ederiz? İşte üç yol:

  • Saygı: İnsanlar farklı. Şirketler farklıdır. Bu bir hata değil, bir özelliktir. Güvenlik, mahremiyet, güven ve güvenlik konularında iyi bir iş çıkaracaksak ya da herhangi bir ürün veya sistem geliştireceksek, sorunları gerçek insanlar için çözmeliyiz; aksi takdirde hiçbir sorunu çözemeyiz.

  • İşbirliği: Bunu neden yapmamız gerektiği hemen belli olmasa bile birbirimizin işini geliştirebiliriz. Bunun işe yaramasının bir yolu, SRE ekiplerinin gerçekten yapmak istediği ancak daha önce önceliklendirilemediği ve güvenliğin kendi başına yapamadığı projelerin önceliğini yükseltmektir. Güvenlik, bunlara ortak projeler olarak ve şirket için kritik öneme sahip olarak yaklaşarak yardımcı olabilir. Kontrol panelleri ve izleme de işbirliği çabalarınızda büyük bir fark yaratabilir; güvenlik ekiplerinin ölçüm engellerini aşmalarına yardımcı olur ve SRE’lerin güvenliğin çalışmalarına ilişkin faydalı görünürlük elde etmelerini destekler. Ve unutmayın: Gösterge tabloları insanları bilgilendirmek veya onların bir şeyler bildiklerinden emin olmak için değildir. İhtiyacınız olan şey, insanların ona baktığında güvenlik açıklarını düzeltmek gibi şeyler yapabileceği bir kontrol panelidir.

  • Birbirimizi seçmek: Pek çok bilgi güvenliği sorumlusu (CISO) mühendis değildir ve bu nedenle mühendislerin kendileriyle çalışmayı istemesini nasıl sağlayacaklarını bilmiyorlar. Halihazırda CISO’nuzla yakın bir şekilde çalışmıyorsanız, güvenlik öncelikleri listesine bakıp “Hey, bazı sorunlarınızı çözebilirim” demenizi öneririm. Ekip olmayı ve yardım etmeyi çok isterler.

Birlikte daha güçlüyüz ve çabalarımızı daha verimli bir şekilde birleştirebilmek ekiplerimizin deneyimlerini ve çıktılarını artırabilir veya bozabilir. SRE ve güvenlik ekiplerinin bunu yapabileceği ve tabii ki bu arada hukuk ekiplerimizi üzmekten kaçınabileceği açık bir yer var.





Source link