DevOps и безопасность данных: как DSPM решает проблемы защиты в облаке

Интересным побочным эффектом распространения облачной разработки программного обеспечения является размытие границ между ролями команд InfoSec и DevOps в защите приложений и пользовательских данных. До недавнего времени DevSecOps в основном занимался обеспечением безопасности и защитой кода, инструментов SDLC и инфраструктуры приложений от потенциальных уязвимостей, утечек и неправильных конфигураций. Сегодня конфиденциальные данные больше не хранятся в безопасных и централизованных базах данных. Вместо этого они разбросаны по аморфным экземплярам на различных облачных и гибридных платформах, что делает защиту данных общей проблемой. Если посмотреть на цифры, то состояние безопасности данных сегодня просто ужасающее. В 2023 году 47% компаний имеют хотя бы одну базу данных или хранилище данных, доступное в Интернете. Как расширить политику безопасности и соответствия корпоративным данным таким образом, чтобы они следовали за вашими данными? В этой статье мы познакомимся с управлением состоянием безопасности данных (Data Security Posture Management, DSPM) — инновационным подходом к смещению безопасности данных в облаке и передаче защиты данных, по крайней мере частично, в руки инженеров DevOps.

Почему и что DevOps нужно знать о DSPM

Предположим, вы спроектировали, внедрили и автоматизировали систему безопасности своих приложений — от кода до облака. Данные зашифрованы, доступны приложениям через защищенные API и защищены брандмауэром. Затем разработчик реплицирует некоторые данные в среду более низкого уровня за пределами зоны безопасности информации вашей компании. Знаете ли вы, какие данные были скопированы? Можете ли вы определить, какая часть информации считается конфиденциальной? И должен ли был вообще разработчик иметь разрешение на дублирование? Если ответ на любой из этих вопросов — «нет» или «может быть», то DSPM в ваших конвейерах CI/CD может быть именно тем, что вам нужно.

DSPM против CSPM

Хотя и DSPM, и CSPM относятся к безопасности ресурсов облачных вычислений, они охватывают различные аспекты облачной безопасности. CSPM (Cloud Security Posture Management – система управления состоянием безопасности облака) фокусируется на защите и обеспечении безопасности облачной инфраструктуры, а DSPM — на защите конфиденциальных данных. Одно не является альтернативой другому. DSPM может дополнять CSPM в вашей общей системе безопасности облачных вычислений и может дублировать инструменты.

7 основных принципов DSPM в DevSecOps

В DevSecOps поддержание надежного уровня безопасности данных имеет решающее значение для защиты конфиденциальной информации. Приведенные ниже советы являются основополагающими компонентами для достижения этой цели.

• Обнаружение и каталогизация данных

Вы не сможете защитить данные, если не знаете, где они находятся. Первый шаг — выяснить, где находятся все ваши структурированные и неструктурированные данные. Например, есть ли в вашей мультиоблачной среде заброшенные базы данных и теневые хранилища данных? Используются ли конфиденциальные данные в сценариях тестирования?

• Классификация активов данных

Не все данные одинаковы. Чтобы эффективно расставить приоритеты в усилиях по защите конфиденциальных данных, вам необходимо четкое понимание типов данных, которыми вы владеете, и их конфиденциальности. Классификация ваших данных по степени конфиденциальности также влечет за собой их каталогизацию, уделяя особое внимание личной информации (PII), финансовым данным, интеллектуальной собственности и субъекту владения данными.

• Сопоставление потоков данных

Данные не статичны, особенно в современном быстро меняющемся мире, ориентированном на разработчиков. Чтобы получить полезную информацию о потенциальных слабых местах в вашей системе защиты данных, вам необходимо составить карту потока конфиденциальных данных между пользователями, приложениями, хранилищами данных и службами. В идеале картирование потока данных должно охватывать весь жизненный цикл данных: от создания, передачи, хранения, обработки и до удаления.

• Оценка риска данных

Анонимизированные данные об использовании приложений менее конфиденциальны, чем финансовые данные, поэтому нет необходимости одинаково относиться к обоим типам. Имея полную информацию о том, где находятся ваши конфиденциальные данные, куда они передаются и как они классифицируются, вы можете оценить потенциальные последствия компрометации данных и уровень вашего риска.

• Реализация мер безопасности

Средства управления безопасностью служат инструментом для согласования вашего DSPM с политиками безопасности организации и лучшими отраслевыми практиками. На этом этапе, основываясь на результатах предыдущих шагов, вы можете настроить политики и инструменты, необходимые для оптимизации и автоматизации применения таких мер контроля, как шифрование, предотвращение потери данных (Data Loss Prevention, DLP), сканирование на уязвимости и другие меры защиты.

• Мониторинг и аудит

DSPM включает в себя непрерывный мониторинг потоков и хранилищ данных на предмет потенциальных аномалий, угроз и нарушений политик для решения проблемы. Мониторинг также является требованием правил защиты данных, так же как аудиты и журналы, для которых требуются соответствующие инструменты защиты данных, которые в равной степени доступны командам InfoSec и DevOps.

• Реагирование на инциденты и их устранение

Хотя DSPM является превентивным подходом, он также включает в себя планирование и реализацию процессов для управления выявленными рисками и принятия мер по их устранению. Благодаря эффективному DSPM угрозы и риски анализируются и приоритизируются, а ваши команды DevOps получают возможность организовать бесперебойный рабочий процесс, который позволяет лучше сотрудничать с командами InfoSec для устранения проблем, не влияя на потоки разработки.

Защитите важное с помощью DSPM в вашей CI/CD

Интегрируя возможности DSPM в свои конвейеры CI/CD, вы можете гарантировать, что уровень прозрачности данных останется прежним. Таким образом, гораздо проще с самого начала внедрить безопасность данных в свои продукты, не жертвуя инновациями ради конфиденциальности данных.