Testowanie bezpieczeństwa chmury w DevSecOps: Shift-Left bez spowalniania CI/CD
Skanowanie Infrastructure-as-Code (IaC)
Skanuj szablony Terraform, CloudFormation, Pulumi i ARM w poszukiwaniu problemów bezpieczeństwa przed wdrożeniem. Narzędzia takie jak checkov, tfsec i KICS oceniają IaC pod kątem zasad bezpieczeństwa i benchmarków CIS, wychwytując błędne konfiguracje zanim trafią do chmury.
Bramki bezpieczeństwa w żądaniach Pull Request
Zintegruj skanowanie IaC z przeglądami żądań pull request. Wyniki dotyczące bezpieczeństwa pojawiają się jako komentarze w PR, blokując scalanie zmian wprowadzających krytyczne błędne konfiguracje. To przenosi informacje zwrotne dotyczące bezpieczeństwa do momentu, w którym programiści podejmują decyzje – do żądania pull request.
Walidacja w czasie działania (Runtime)
Skanowanie IaC wychwytuje problemy w kodzie. Skanowanie w czasie działania wychwytuje problemy we wdrożonej infrastrukturze – w tym odchylenia od stanu zdefiniowanego w IaC, zasoby utworzone poza IaC i konfiguracje zmodyfikowane ręcznie. Obie warstwy są niezbędne.
Kiedy dodać testy manualne
Zautomatyzowane narzędzia w potoku wychwytują znane wzorce. Kwartalne, manualne testy Penetration Testing przeprowadzane przez ekspertów ds. bezpieczeństwa w chmurze – takich jak specjaliści z Penetrify – wychwytują łańcuchy exploitów, ścieżki ataków między usługami i słabości architektoniczne, których narzędzia w potoku nie są w stanie zidentyfikować. To połączenie zapewnia szybkość i dogłębność.
Podsumowanie
Testowanie bezpieczeństwa w DevSecOps nie polega na spowalnianiu – chodzi o wychwytywanie błędnych konfiguracji z prędkością wdrażania. Zautomatyzuj skanowanie IaC w swoim potoku, stale waliduj konfiguracje w czasie działania (runtime) i kwartalnie dodawaj manualne testy eksperckie dla większej głębi. Penetrify zapewnia warstwę manualnej głębi.