Avertissement : cet article n'est pas censé être une déclaration religieuse, mais simplement une analogie pour illustrer l'impact de DevSecOps sur la culture de l'ingénierie, à la fois en interne chez PagerDuty, ainsi que plus largement parmi nos 10 000 clients.

Levez la main si vous croyez en DevOps. Merci, je vois cette main. En tant qu'ancien organisateur des DevOpsdays Toronto (2014-2016), on peut dire que j'ai bu le Kool-Aid très tôt. Mais grâce aux recherches exceptionnelles de la DevOps Research Association (DORA) et à de nombreux État des lieux de DevOps Selon les rapports précédents, la culture DevOps est beaucoup moins une bataille religieuse qu’elle ne l’a été par le passé.

Certaines querelles subsistent, comme l'importance excessive accordée à l'automatisation du déploiement et une Manque de transformation dans la propriété des services , mais dans l'ensemble, parler de DevOps aux développeurs et aux ingénieurs d'exploitation de nos jours revient à prêcher à des convertis. Ils se sont recentrés sur les résultats des clients et, par conséquent, ils sont en mesure de répondre aux besoins des clients et de déployer les changements plus rapidement que jamais auparavant. Ou plutôt, ils devraient pouvoir le faire... s'il n'y avait pas les gardiens, autrement dit l'équipe du « non », autrement dit l'équipe de sécurité. Je ne veux pas du tout diaboliser les équipes de sécurité : elles ont un objectif unique et intimidant (« Tu ne seras pas attaqué ») et beaucoup de choses se dressent contre elles. La croissance d’AWS à elle seule montre un taux d’adoption du cloud stupéfiant, qui s’accompagne d’une surface d’attaque plus large, de différentes hypothèses de sécurité et de nombreuses menaces de cybersécurité. Les équipes affluent vers ce cloud en raison de la possibilité d’automatisation et de libre-service, qui les aide à répondre aux demandes des clients qui nécessitent un rythme de changement rapide et, souvent, une réponse en temps réel.

Comme les équipes opérationnelles avant elles, les équipes de sécurité ont toujours été réticentes au changement. Le changement est source d’échecs et de risques. Pourtant, pour faire avancer l’entreprise, le changement est nécessaire. Mais pour garantir que les changements soient acceptables en termes de risques, des listes de contrôle et des règles sans fin ont été introduites : « Tu ne dois PAS analyser les entrées utilisateur sans vérifier les attaques par injection », « Tu ne dois PAS effectuer d’appels HTTP sans SSL », « Tu ne dois PAS lancer un nouveau service sans effectuer de test de pénétration », « Tu ne dois PAS dépendre de bibliothèques open source », etc.

Je les compare aux dix commandements de l'Ancien Testament de la Bible. Il n'y a rien de mal à avoir des directives, mais l'esprit de la loi est souvent perdu et les gens finissent par trouver de nouvelles façons d'obéir à la loi tout en passant à côté de l'essentiel. En d'autres termes, les développeurs trouveront des moyens de contourner vos barrières si cela les empêche de servir les clients. Mais la sécurité ne devrait-elle pas nous permettre de mieux servir nos clients ?

Cela signifie-t-il que nous devons jeter les listes de contrôle et laisser le chaos régner ? Certainement pas ! Le christianisme enseigne que Jésus n’est pas venu pour abolir la loi mais pour l’accomplir. De même, la bonne nouvelle de DevSecOps (« évangile » signifie simplement « bonne nouvelle ») est qu’il y a de l’espoir si nous avons une seule et même préoccupation à l’échelle de l’entreprise : aimer son client. Cela signifie que les équipes de sécurité et les développeurs ont une vision et un langage communs pour évaluer le rapport risque/valeur. Cela signifie les équipes de sécurité impliquent les développeurs plus tôt avec des problèmes de sécurité critiques pendant que les développeurs sont en cours de traitement, afin que la boucle de rétroaction soit étroite. Et, en fin de compte, cela signifie partager la responsabilité de la sécurité.

L'Union de PagerDuty et DevSecOps

Comment vous faisons-nous réussir avec une culture DevSecOps ? Pour PagerDuty, cela signifie s'unir avec nos partenaires. En plus de déployer notre version améliorée Intégration d'Amazon GuardDuty , des partenaires de sécurité comme Sumo Logic, Dome9, Threat Stack et Twistlock nous aident à développer notre écosystème de plus de 300 intégrations.

Logique Sumo vous aide à surveiller les mesures de sécurité clés et les indicateurs de compromission (IOC) en temps réel, en envoyant des alertes exploitables à PagerDuty pour générer une réponse humaine en temps réel. De plus, la combinaison des quantités massives de données de journaux de sécurité de Sumo Logic et des riches données de surveillance de PagerDuty vous offre le contexte dont vous avez besoin pour réduire les temps d'enquête sur les incidents et simplifier la gestion de la conformité.

Dome9 permet d'intégrer la sécurité et la conformité tôt et souvent dans le cycle de vie de développement et de déploiement de logiciels, en utilisant PagerDuty pour trier et piloter la résolution appropriée, qu'il s'agisse d'un correctif urgent avant qu'il n'atteigne la production ou d'un défaut à corriger ultérieurement. Avec Dome9 et PagerDuty, vous pouvez impliquer les développeurs de manière plus efficace et proactive afin de résoudre plus rapidement les problèmes de conformité et de maintenir l'hygiène de sécurité.

Threat Stack fournit une plate-forme de sécurité cloud pour détecter rapidement les comportements non sécurisés des systèmes et des utilisateurs, et exploite PagerDuty pour boucler la boucle de rétroaction en agissant sur les événements de sécurité avant qu'ils ne deviennent catastrophiques. S'approprier vos opérations signifie que la sécurité ne peut pas être laissée de côté, c'est pourquoi des plateformes comme Threat Stack et PagerDuty fonctionnent si bien ensemble pour répartir la responsabilité en matière de sécurité.

Verrouillage par rotation permet à la sécurité des conteneurs pour les plates-formes cloud de surveiller les vulnérabilités et d'impliquer les développeurs utilisant PagerDuty avant que ces vulnérabilités ne soient exploitées. Il assure également une défense d'exécution pour les hôtes, les conteneurs et les fonctions en surveillant activement les menaces et en envoyant ces signaux à PagerDuty pour une action immédiate.

Avec nos partenaires, nous voulons voir les organisations adoptent DevSecOps afin que vous puissiez continuer à mieux servir vos clients. Aller plus vite ne signifie pas que vous devez laisser la sécurité de côté. Tout commence par tendre la main et trouver un terrain d'entente autour duquel se rassembler. Laissez tomber les règles (le « comment ») et trouvez l'objectif supérieur (le « pourquoi »). Amen.

Venez nous parler à re:Invent
En tant que partenaire avancé du réseau de partenaires AWS doté de la compétence DevOps, PagerDuty est heureux de rejoindre AWS à re:Invent pour partager ces nouvelles intégrations passionnantes avec nos clients communs. Si vous êtes à Las Vegas cette semaine, venez nous voir au stand 1023.

Vous ne allez pas ré:Inventer ? PagerDuty propose un essai gratuit de 14 jours et peut être acheté via le Place de marché AWS . Vous pouvez également en savoir plus sur ces intégrations pour AWS ici .