หลังจากที่ดู VDO จากงาน DevSecOps พบว่า
มีหลาย ๆ เรื่องที่น่าสนใจ หนึ่งในนั้นคือ Effective DevSecOps
ทำการอธิบายเรื่องของ Security ในบริบทของ Development และ Operation ไว้อย่างน่าสนใจ
เลยนำมาสรุปไว้หน่อย
เรื่องของ Security นั้น
ไม่ควรแบ่งแยกให้ใครดูแลไปเลย หรือแบ่งเป็นทีมหรือแผนก
ไม่ควรมีแต่เอกสาร มีแต่กฏและนโยบายออกมา เพื่อให้ทุก ๆ คนทำตาม ยกเว้นคนสร้างกฏ
ไม่ควรมาเถียงกันว่าใครทำผิด ว่าใครไม่ทำตามกฏ แต่ทุกคนคือทีม หรือ cyber-security team
ไม่รอที่จะมายิง มาเจาะหรือมา hack ระบบอย่างเดียว
ดังนั้นเรื่องของ Security มันเป็นเรื่องของทุกคน
ขึ้นอยู่กับว่า ใครรับผิดชอบในส่วนไหนบ้าง
แต่โดยรวมต้องทำงานกันเป็นทีม
ที่สำคัญเรื่องของ Security มันต้องเข้ามาเป็นส่วนหนึ่ง
ในการ Development และ Operation ด้วยเสมอ
คำถามที่น่าสนใจจาก VDO
เรามาสนใจเรื่อง security กันตอนไหน ตอนที่โดนโจมตีแล้วใช่ไหม ?
ดังนั้น Security all the time, everywhere by anyone นะครับ
มาดูกันว่า จะทำอย่างไรให้มันมีประสิทธิภาพมากขึ้น
การมีเอกสาร มีกฏมากมาย มีนโยบายมากมายเป็นสิ่งที่ดี
แต่คำถามคือ แล้วการนำไปใช้งานเป็นอย่างไร ?
มีทีมตรวจสอบ รอให้ตรวจสอบเพียงฝ่ายเดียวหรือไม่ ?
หรือทีมตรวจสอบมาตรวจและให้ความรู้ในส่วนอื่น ๆ ขององค์กร
เพื่อให้ตระหนักรู้ถึงเรื่อง Security !!
การนำมาใช้งานยิ่งสำคัญ
ควรมีการตกลง
ควรมีเครื่องมือที่เหมาะสม ในแต่ละขั้นตอนของการทำงานดังนั้นเมื่อคิดได้ ทำต้องได้ เครื่องมือต้องพร้อม และวัดผลเพื่อปรับปรุงได้เสมอ
ขั้นตอนที่ 1 กำหนดเป้าหมายให้ชัดเจน
ตัวอย่างเช่น
- ข้อมูลที่เป็นความลับต้องไม่รั่วไหลออกไป เช่น password, certificate หรือ private key เป็นต้น
- พวก certificate ต่าง ๆ ต้องไม่หมดอายุ
- พวก library ต่าง ๆ ต้องไม่ล้าสมัย
- พวก source code ต้องไม่มีช่องโหว่ให้โจมตี
- ต้อง compliance ไปกับ OWASP TOP 10 เสมอ
ขั้นตอนที่ 2 สร้างกรอบและขั้นตอนการทำงาน
เป็นส่วนที่ยากมาก ๆ ซึ่งต้องทำการสร้างแบบแผนการทำงานทั้งฝั่ง Development และ Operation
ทำอย่างไรให้ทั้งสองฝ่ายรู้และเข้าใจเกี่ยวกับเรื่องของ Security
ยกตัวอย่างเช่น เรื่องของความลับต้องไม่รั่วไหล
ต้องทำการสรุปกฏและนโยบายออกมาที่จับต้องได้ เช่น
- ต้องไม่เก็บไว้ใน repository
- ต้องไม่อยู่ในรูปแบบของ plain text
ต้องสรุปการบังคับใช้งานให้ชัดเจน เช่น
- ทำการ scan repository อยู่เสมอ
- ทุก ๆ ข้อมูลที่เป็นความลับต้องมีเครื่องมือจัดการเสมอ
ยังไม่พอ ต้องสรุปเครื่องมือที่จะใช้งานแบบชัดเจนไปเลยอีกด้วย เช่น
จากนั้นทำการสร้าง process หรือ pipeline ของการทำงาน
ว่า Security จะเข้ามาอยู่ในตรงไหนอย่างไร เช่น
- Code
- Build
- Test
- Deploy
- Operate
ขั้นตอนที่ 3 ประกาศหรือแจ้งออกไป ให้รับทราบทั้งองค์กร
เนื่องจากถ้าคุณมีแผนงานที่ยอดเยี่ยมมาก ๆ
แต่ไม่มีใครรู้ หรือ เข้าใจ หรือ ไม่สนใจ หรือ ไม่ได้นำมาใช้งาน
ก็เป็นเพียงแผนงานขยะชิ้นหนึ่งเท่านั้นเอง
ดังนั้น นี่คือเวลาขายของ
แต่ก่อนอื่นคุณต้องมีผู้สนับสนุนที่แข็งแกร่ง
ซึ่งจะช่วยทำให้การใช้งานมีประสิทธิภาพที่ดีขึ้น
นี่มันเรื่องของการเมืองในองค์กรชัด ๆ
คนในองค์กรควรที่จะต้องมีความรู้ความเข้าใจต่อสิ่งที่กำลังจะนำมาใช้งาน
รวมไปถึงประโยชน์ที่จะได้รับ
ดังนั้นในขั้นตอนนี้มันเรื่องใหญ่และสำคัญมาก ๆ
ส่วนใหญ่มักจะทำให้เป้นงานใหญ่โต
ทั้งการจัดงาน workshop
ทั้งการติดป้ายประกาศ
ทั้งการทำเสื้อ และ สิ่งต่าง ๆ ที่ช่วย promote
ทั้งการประชาสัมพันธ์ถึงผลที่จะได้รับ
ทั้งการเข้าไปช่วยเหลือ
ทั้งเรื่อง Roadmap ขององค์กร
ขั้นตอนที่ 4 การบังคับให้ใช้งานตามกฏและนโยบาย
ซึ่งต้องบอกด้วยว่าต้องทำอย่างไรบ้าง ต้องจับต้องได้
มีทั้งงานที่ต้องทำเอง และงานที่ต้องใช้เครื่องมือมาช่วย
ขั้นตอนที่ 5 ต้องมีการวัดผลอยู่เสมอ
เพื่อดูว่าสิ่งที่สร้าง และประกาศออกไปนั้น
รวมถึงการใช้งานจริง ๆ มันได้ผลไหม
คนทั่วไปเข้าใจจริง ๆ ไหม
เพื่อทำการปรับปรุงต่อไป
ทั้งเรื่องของการสื่อสาร ขั้นตอนการทำงานเป็นต้น
ถ้าทำได้ประมาณนี้ น่าจะทำให้ Security เข้ามาอยู่ในทุก ๆ ส่วนของการทำงาน
น่าจะทำให้เราได้เห้นถึงความสำคัญของ Security มากขึ้น
วันนี้คุณพร้อมหรือยังกับ DevSecOps
เมื่อถึงเวลา ของมันก็ต้องมา และต้องมี
พูดกันเยอะแล้ว ลงมือทำเถอะครับ
