devsecops

ยกระดับ Development Life Cycle ในองค์กรด้วย DevSecOps

admin

12 Jun 2022 | 1 นาทีอ่าน

DevSecOps คืออะไร วันนี้ Talance เราจะมาเล่าให้ทุกคนฟัง ! ในปี 2022 Cyber security ยังคงเป็นสิ่งที่สำคัญอย่างมากต่อองค์กร ไม่ว่าจะภาครัฐหรือเอกชน เพราะว่าข้อมูลที่องค์กรมีล้วนเป็นข้อมูลที่สำคัญ ทั้งข้อมูลส่วนบุคคล ข้อมูลทางการเงินหรือข้อมูลระดับประเทศ เราจึงต้องให้ความสำคัญกับ Security เพื่อไม่ให้ข้อมูลเหล่านั้นถูกโจมตีจากกลุ่ม Hacker ซึ่งทำให้เทรนด์ใหม่ที่เรียกว่า DevSecOps ขึ้นมา 

DevSecOps คืออะไร?

DevSecOps คือ การทำงานที่ให้ความสำคัญกับฝ่าย Security Team ที่เพิ่มเข้ามา และทำการแทรกกระบวนการ Security เข้าไปทุกส่วน ซึ่งจะโฟกัสไปที่การร่วมมือกันระหว่าง Development Team, Security Team, และ Operation Team เพื่อให้เอางานขึ้น Production ให้เร็วที่สุด รวมถึงส่งมอบงานที่มีคุณภาพและมีปลอดภัยให้ได้อย่างต่อเนื่องเป็นระบบ ภายใต้วงจรการทำงานแบบ Development life cycle 

Process of DevSecOps
ที่มา: Dynatrace

โดยการที่เรานำการทำงานแบบนี้เข้ามาเป็นส่วนหนึ่งของ Development life cycle จะช่วยยกระดับและเพิ่มประสิทธิภาพการทำงาน รวมถึงความปลอดภัยในแต่ละขั้นตอนมากขึ้น

DevSecOps แตกต่างกับ DevOps อย่างไร 

พอพูดถึง DevSecOps แล้ว หลาย ๆ คนคงนึกถึง DevOps และเกิดข้อสงสัยขึ้นมาว่าทั้ง 2 อย่างนี้มันเหมือนกันต่างกันยังไง วันนี้ Talance เราทำสรุปข้อมูลจาก redhat ถ้าพร้อมแล้วไปเริ่มทำความเข้าใจกันเลย

DevOps คือ การร่วมกันระหว่างฝ่าย Development Team และ Operations Team เพื่อเพิ่มประสิทธิภาพในการทำงาน และความสามารถขององค์กรในการส่ง Production ออกสู่ตลาดได้อย่างรวดเร็ว และปลอดภัย 

ส่วน DevSecOps จะเพิ่มในส่วนของ Security เข้าไป พูดง่ายๆ คือ จาก DevOps Tools เดิมที่เราทำไว้แล้ว เราก็เพิ่ม Security Practice เข้าไปให้มันสมบูรณ์ยิ่งขึ้น โดยการนำ 3 ส่วนนี้มารวมกัน จะช่วยป้องกันการโจมตีของ Attacker หรือ Hacker ได้เป็นอย่างมีประสิทธิภาพ ทั้งยังช่วยส่งเสริมการทำงานร่วมกันของทีมให้มีความเป็น Automation มากขึ้น 

หลายคนอาจสงสัยว่าทำไมต้องมี DevSecOps เพิ่มเข้ามาเพราะว่า DevOps ก็มีตรงส่วนของ Security อยู่แล้วนี่นา จริง ๆ มันก็ถูกครึ่งนึง แต่ส่วน Security ของ DevOps ที่ Development Team ต้องรับหน้าที่อยู่แล้วก็คือเรื่อง Secure Design และ Secure Coding ซึ่งเป็น Practice พื้นฐานที่เราต้องทำก่อนที่จะส่งให้กับฝั่ง Operation Team โดยฝ่ายนี้จะทำเกี่ยวกับการทำ Hardening หรือ Secure Deployment Process ก่อนนำงานขึ้น Production

อีกข้อแตกต่างของระหว่าง 2 อย่างนี้ก็คือ การทำงานของ DevSecOps จะมีความรวดเร็วมากกว่า DevOps เพราะมีฝ่าย Sec Team แทรกเข้ามาจึงทำให้สามารถ Feedback และแก้ไขปัญหากันได้ทันทีในทุกขั้นตอนโดยไม่ต้องรอให้เกิดปัญหาบน Production แล้วค่อยกลับมาแก้กันในภายหลัง ในขณะที่  DevOps จะมีความล่าช้ากว่า DevSecOps เนื่องจากจะต้องส่ง Feedback กลับไปกลับมาระหว่าง Dev Team และ Ops Team แถมยังอาจทำให้เกิดช่องโหว่ให้กลุ่ม Hacker เข้ามาโจมตีได้

แล้วทำไมถึงสำคัญ?

Digital transformation นั้นเข้ามามีบทบาทกับองค์กรต่าง ๆ มากขึ้น แน่นอนว่าความเปลี่ยนแปลงเหล่านี้ส่งผลดีให้กับองค์กรได้อย่างต่อเนื่อง แต่เชื่อหรือไม่ว่าสิ่งเหล่านี้ก็สร้างปัญหาด้าน Security ขึ้นมาได้พร้อม ๆ กัน Trasformation หลัก ๆ ที่สร้างผลกระทบด้านความปลอดภัยนั้นมีอยู่ 3 อย่าง

1. การใช้ Software มากขึ้น

สิ่งสำคัญในกระบวนการ Digital transformation นั้น แน่นอนว่าจะหลีกเลี่ยงการใช้ Software ไม่ได้เลย และเมื่อองค์กรพากันนำ Software มาใช้มากขึ้น นั่นก็หมายความว่าข้อมูลต่าง ๆ ที่สำคัญก็จะถูกโยกย้ายและเปลี่ยนแปลงให้กลายเป็นดิจิทัลมากยิ่งขึ้น ซึ่งมันก็เป็นผลดีกับทางบริษัทแหละ แต่ในขณะเดียวกันพวก Hacker เองก็รอคอยที่จะเจาะเข้ามาเพื่อขโมยข้อมูลเหล่านี้ไปใช้ประโยชน์เช่นเดียวกัน เพราะฉะนั้นถ้าไม่คอยระวังให้ดี บอกได้เลยว่าเสร็จโจรแน่ ๆ

2. การนำ Cloud technology เข้ามาใช้

อีกหนึ่งสิ่งที่องค์กรยุคใหม่ชอบกันมาก ๆ คือ Cloud technology ที่ทำให้ Workflow ในองค์กรสะดวกรวดเร็วขึ้น ทั้งยังสร้างภาพลักษณ์ที่ดีให้กับองค์กรอีกด้วย อย่างไรก็ตามการใช้ Cloud technology จะทำให้เกิดการรวบรวมข้อมูลต่าง ๆ มาไว้ในที่เดียวกันและสามารถแชร์กับคนจำนวนมากได้ ทำให้ข้อมูลที่ถูกเก็บไว้ในคลาวด์มีความเสี่ยงที่จะหลุดออกไปได้ง่ายมาก ๆ เช่นกัน

3. ปรับปรุง Development life cycle ด้วย DevOps เพื่อความรวดเร็ว

DevOps นั้นเกิดขึ้นมาเพื่อตอบโจทย์ด้านความรวดเร็ว เพราะ DevOps นั้นคือการรวมขั้นตอน Development กับ Operation เข้าด้วยกัน องค์กรจึงนำ DevOps เข้ามาใช้ใน Development life cycle มากขึ้น ทำให้สามารถสร้าง Product ได้เป็นจำนวนมากในเวลาสั้น ๆ แต่ถึงอย่างนั้น Security ก็ยังถูกแบ่งออกเป็นทีมแยก และนำมาใช้ในขั้นตอนสุดท้ายของการสร้าง Product อีกด้วย ทำให้กว่าจะมาถึงมือทีม Security ชิ้นงานหลาย ๆ ชิ้นที่สร้างขึ้นมาอาจจะถูกโจมตีหรือสอดส่องแล้วก็ได้ กระบวนการทำงานใน Development life cycle จึงยังไม่ตอบโจทย์ด้านความไม่ปลอดภัย และยิ่งทำให้เสี่ยงต่อการรั่วไหลของข้อมูลมากขึ้นด้วย

ทั้ง 3 ปัจจัยที่ว่ามานี้ทำให้เกิดความเสี่ยงต่อการเกิดอาชญากรรมไซเบอร์เป็นอย่างมาก เพราะข้อมูลที่ถูกโหลดเข้ามาให้อยู่ในฟอร์มของดิจิทัลมีมากขึ้นเรื่อย ๆ แต่มันกลับไม่รองรับการทำงานของกระบวนการ Security เลย

ดังนั้น การทำงานในรูปแบบที่ให้ความสำคัญกับความปลอดภัยในทุกขั้นตอนของ Development life cycle จึงทำให้ทุกขั้นตอนของการสร้างสรรค์ชิ้นงานมีความปลอดภัยสูงมากชนิดที่เรียกได้ว่าแทบจะไม่เปิดช่องโหว่ให้ใครเข้ามาส่องเลยทีเดียว นับว่าเป็นนวัตกรรมใหม่ที่สามารถยกระดับ Development life cycle ให้กับองค์กรได้อย่างเห็นผลจริง ๆ

หลักการ 4 ข้อที่สำคัญของการทำ DevSecOps 

เราต้องเข้าใจก่อนว่า DevSecOps มันไม่ใช่แค่วิธีการแต่มันควรจะเป็น Culture หรือ Mindset มากกว่า เมื่อทุกคนให้ความสำคัญในสิ่งนั้นๆเหมือนกัน มันถึงจะแสดงประสิทธิภาพได้อย่างที่มันควรจะเป็น โดยมีหลักการ 4 ข้อดังนี้

1. Remove

การลบและทลายกำแพงที่ขวางการทำงานระหว่างทีมที่เคยมีในแนวคิด DevOps เดิม และเปลี่ยนเป็นการทำงานร่วมกันตั้งแต่ขั้นตอนแรกจนถึงขั้นตอนสุดท้าย

2. Shorten

ลดขั้นตอนการกลับไปกลับมาในกระบวนการพัฒนาซอฟต์แวร์ การที่เราแทรก Security Team ไประหว่าง Development Team และ Operation Team นอกจากจะลดขั้นตอนการส่ง feedback ไปมาระหว่างทีม มันยังเป็นการเพิ่มความปลอดภัยไปต่อข้อมูลที่สำคัญของเราอีกด้วย

3. Faster 

เพิ่มประสิทธิภาพในการทำงานให้การพัฒนาซอฟต์แวร์ทำได้รวดเร็วยิ่งขึ้น สามารถ Feedback และแก้ไขปัญหากันได้ทันทีในทุกขั้นตอนโดยไม่ต้องรอให้เกิดปัญหาบน Production แล้วค่อยกลับมาแก้กันในภายหลัง 

4. Secure

การให้ความสำคัญกับความปลอดภัย โดยมีหัวใจสำคัญอยู่ที่คำว่า Security in Every Step กล่าวคือทุกขั้นตอนตั้งแต่วันแรกของการพัฒนาจะต้องมีหลักคิดและวิธีการทางด้าน Cybersecurity เข้ามาเกี่ยวข้องเสมอ

สรุป

แม้ว่าการทำงานในรูปแบบนี้อาจจะรู้สึกเหมือนเป็นเรื่องไกลตัว แต่ถ้าเรามาคิดกันดูดี ๆ ความปลอดภัยของข้อมูลต่าง ๆ ในระบบของเรานั้น เป็นสิ่งสำคัญที่ควรจะดูแลรักษาเอาไว้ให้ดี เพราะถ้าเกิดเหตุรั่วไหลออกไปผลกระทบก็จะกลับมากที่องค์กรของเราเอง ดังนั้น DevSecOps จึงเป็นกระบวนการหนึ่งที่จะช่วยสร้าง Cyber Security และยกระดับ Development life cycle ได้อย่างยั่งยืน

5 1 vote
Article Rating
Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments

บทความที่เกี่ยวข้อง

รู้จักกับ Total Experience (TX) กลยุทธ์การสร้างประสบการณ์แบบครบวงจร

เมื่อเอ่ยถึง Total Experience (TX) หลายคนอาจไม่คุ้นชินหรือรู้จักมันมากนัก แต่จริง ๆ แล้วใครจะรู้ว่าสิ่งที่เรียกว่า TX ได

admin

10 Sep 2022 | 1 นาทีอ่าน

Internet of Behaviors (IoB) เทรนด์ใหม่ที่หลายๆ องค์กรต้องจับตามอง

หลายคนคงคุ้นชินหรือเคยได้ยินคำว่า Internet of Things (IoT) กันมาบ้างแล้ว โดยเฉพาะหลังจากการแพร่ระบาดของโควิด-19 ที่ผลักด

admin

24 Jul 2022 | 1 นาทีอ่าน