ДОСЛІДЖЕННЯ ПРОБЛЕМАТИКИ БЕЗПЕКИ В ХМАРНИХ СЕРЕДОВИЩАХ ТА ВИРІШЕННЯ З ЗАСТОСУВАННЯМ ПІДХОДУ “БЕЗПЕКА ЯК КОД”

Автор(и)

  • Вахула Олександр Петрович Кафедра захисту інформації Національного університету «Львівська політехніка» https://orcid.org/0009-0008-5367-3344
  • Опірський Іван Романович Кафедра захисту інформації Національного універси-тету «Львівська політехніка» https://orcid.org/0000-0002-8461-8996

DOI:

https://doi.org/10.18372/2410-7840.25.17936

Ключові слова:

Безпека як код, Інфраструктура як код, DevSecOps, DevOps, хмарні середовища, цикл розробки програмного забезпечення, загрози безпеки

Анотація

“Безпека як код”- це підхід організації безпеки в хмарних середовищах, який полягає на методі інтеграції контролів безпеки, політик та кращих практик безпосередньо в процеси розробки та розгортання програмного забезпечення. Процес інтеграції включає трансформацію вимог безпеки та конфігурацій в програмний код, який в свою чергу вважається невід’ємною частиною повного життєвого циклу розробки програмного забезпечення. Вбудовуванням мір безпеки в код, скріпти, шаблони та автоматизовані робочі процеси, організація забезпечує, що є чітко визначені контролі безпеки, які консистентно та примусово будуть застосовані на всіх операційних фазах створення програмного забезпечення (розробка, тестування, впровадження, підтримка). В даній статті розглянуто основні проблеми побудови безпеки в хмарних середовищах та їх причини, також розглядає складові та принципи підходу «Безпека як код”, приклад реалізації з поясненням, переваги даного підходу, а також роль DevSecOps. Ця стаття має на меті допомогти читачам зрозуміти важливість підходу “Безпека як код”, як одного з найефективніших методів організації безпеки в хмарних середовищах. Так, як хмарні середовища продовжують розвиватися та поширюватися, а загрози стають все більш складними, підхід “Безпека як код” являє собою основну стратегію для про-активного захисту цифрових активів. Ця публікація слугує посібником для розуміння, впровадження та отримання переваг від підходу “Безпеки як код”, надаючи уявлення про майбутній ландшафт безпеки хмарних середовищ та важливу роль автоматизації та інтеграції у вирішенні сучасних викликів безпеки. Для підтримки дослідження було проведена широкий аналіз літератури та статей, які надають інформацію про підхід “Безпека як код” та його застосування.

Посилання

Chhavi Adtani, Aaron Bawcom, Jan Shelly Brown, Rich Cracknell, Rich Isenberg, Kaz Kazmier, Pablo Prieto-Munoz, and David Weinstein (2022). Security as code: The best (and maybe only) path to securing cloud applications and systems: https://www.mckinsey.com/capabilities/mckinsey-digital/our-insights/ security - as -code-the-best-and-maybe-only-path-to-securing-cloud-applications-and-systems.

Sarthak Das (2023). Security as Code 1st Edition.

Kim Carter (2017). Francois Raynaud on DevSecOps https://ieeexplore.ieee.org/document/8048652.

Rakesh Kumar, Rinkaj Goyal (2020). Modeling con-tinuous security: A conceptual model for automated DevSecOps using open-source software over cloud (ADOC): https: // www.sciencedirect.com /science/ article/abs/pii/S0167404820302406.

Xuejiao Zhang (2021). Cloud governance and compli-ance on AWS with policy as code: https://aws.amazon.com/ru/blogs/opensource/cloud-governance-and-compliance-on-aws-with-policy-as-code/.

Xuejiao Zhang (2020). Compliance as code and auto-remediation with Cloud Custodian.

Fausto Lendeborg (2021). Security as Code is the Future to Governing Risk: https://cloudsecurityalliance.org/blog/2021/10/19/security-as-code-is-the-future-to-governing-risk/.

Becki Lee (2022). Using Open Policy Agent (OPA) to Apply Policy-as-Code to Infrastructure-as-Code htt-ps:// cloudsecurityalliance.org / blog/ 2020 /04/02/ using - open - policy-agent-opa-to-apply-policy-as-co¬de-to-infrastructure-as-code/.

Ricardo Ferreira (2022). Policy Design in the Age of Digital Adoption: Explore how PolicyOps can drive Policy as Code adoption in an organization's digital transformation 1st Edition.

Saif Gunja (2023). Shift left vs shift right: A DevOps mystery solved: https://www.dynatrace.com/news/ blog/what-is-shift-left-and-what-is-shift-right.

##submission.downloads##

Опубліковано

2023-10-19

Номер

Том 25 № 3 (2023): Захист інформації

Розділ

Статті

Ліцензія

Автори, які публікуються у цьому журналі, погоджуються з наступними умовами:

  1. Автори залишають за собою право на авторство своєї роботи та передають журналу право першої публікації цієї роботи на умовах ліцензії Creative Commons Attribution License, котра дозволяє іншим особам вільно розповсюджувати опубліковану роботу з обов'язковим посиланням на авторів оригінальної роботи та першу публікацію роботи у цьому журналі.

  2. Автори мають право укладати самостійні додаткові угоди щодо неексклюзивного розповсюдження роботи у тому вигляді, в якому вона була опублікована цим журналом (наприклад, розміщувати роботу в електронному сховищі установи або публікувати у складі монографії), за умови збереження посилання на першу публікацію роботи у цьому журналі.

  3. Політика журналу дозволяє і заохочує розміщення авторами в мережі Інтернет (наприклад, у сховищах установ або на особистих веб-сайтах) рукопису роботи, як до подання цього рукопису до редакції, так і під час його редакційного опрацювання, оскільки це сприяє виникненню продуктивної наукової дискусії та позитивно позначається на оперативності та динаміці цитування опублікованої роботи (див. The Effect of Open Access).