Автор: Ройал Хансен, вице-президент по безопасности, Google
В
течение многих лет я хотел, чтобы кто-нибудь написал такую книгу. С момента
их публикации я часто восхищался и рекомендовал книги по разработке надежности
сайта Google (SRE) - поэтому я был
очень рад узнать, что книга, посвященная безопасности и надежности, уже
началась, когда я пришел в Google. С
тех пор, как я начал работать в сфере технологий, в организациях разных
размеров я видел людей, которые борются с вопросом о том, как должна быть
организована безопасность: должна ли она быть централизованной или
федеративной? Независимый или встроенный?
Оперативный
или консультативный? Технический или управляющий? У этого списка нет конца.
И SRE, и безопасность сильно зависят от классических
команд разработчиков программного обеспечения. Тем не менее, оба они отличаются
от классических команд разработчиков программного обеспечения в основных
отношениях:
Инженеры по надежности сайта (SRE) и инженеры по
безопасности, как правило, ломают и исправляют, а также строят.
Их работа включает в себя операции, в дополнение к
разработке.
SRE и инженеры по безопасности являются
специалистами, а не разработчиками классического программного обеспечения. Они
часто рассматриваются как контрольно-пропускные пункты, а не как стимулы.
Они часто изолированы, а не интегрированы в
продуктовые команды.
В течение многих лет мы с коллегами утверждали, что
безопасность должна быть первоклассным и встроенным качеством программного
обеспечения. Я считаю, что использование подхода, основанного на SRE, является
логическим шагом в этом направлении. Поскольку мое понимание взаимосвязи между
безопасностью и SRE углубилось, я стал еще более уверенным в том, что важно
более тщательно интегрировать методы обеспечения безопасности в полный
жизненный цикл программного обеспечения и служб данных.
Природа современного
гибридного облака, большая часть которого основана на программных платформах с
открытым исходным кодом, которые предлагают взаимосвязанные данные и
микросервисы, делает тесно интегрированные возможности обеспечения безопасности
и устойчивости еще более важными.
В то же время предприятия находятся в критической
точке, где облачные вычисления, различные формы машинного обучения, и сложный
ландшафт кибербезопасности вместе определяют, куда движется все более цифровой
мир, как быстро он туда попадет и какие риски связаны с этим.
За последние 20 лет операционные и организационные
подходы к обеспечению безопасности на крупных предприятиях значительно
различались. Наиболее известные экземпляры включают полностью централизованные
главные сотрудники по информационной безопасности и операции с базовой
инфраструктурой, которые включают в себя брандмауэры, службы каталогов,
прокси-серверы и многое другое - команды, в которых работают сотни или тысячи
сотрудников. На другом конце спектра, Команды федеральной информационной
безопасности для бизнеса имеют либо специализацию в области бизнеса, либо
технические знания, необходимые для поддержки или управления именованным
списком функций или бизнес-операций. Где-то посередине, комитеты, метрики и
нормативные требования могут регулировать политики безопасности, встроенные
чемпионы по безопасности могут либо играть роль управления отношениями, либо
отслеживать проблемы для названной организационной единицы.
Недавно я видел,
как команды перебирают модель SRE, превращая встроенную роль в нечто вроде
инженера по безопасности сайта или в специальную роль Agile scrum для специализированных групп безопасности.
По уважительным причинам, группы безопасности
предприятия в основном сосредоточены на конфиденциальности. Однако организации
часто признают, что целостность и доступность данных одинаково важны, и
рассматривают эти области с помощью разных групп и разных элементов управления.
Функция SRE - лучший в своем классе подход к надежности. Тем не менее, это
также играет роль в реальной обнаружение времени и реагирование на технические
проблемы, в том числе связанные с безопасностью атаки на привилегированный
доступ или конфиденциальные данные. В конечном счете, хотя инженерные группы
часто организационно разделены в соответствии со специализированными навыками,
у них есть общая цель: обеспечение качества и безопасности системы или
приложения.
В мире, который с каждым годом становится все более зависимым от
технологий, книга о подходах к безопасности и надежности, основанная на опыте Google и всей отрасли, является важным
вкладом в развитие разработки программного обеспечения, управления системами и
защиты данных. По мере развития ландшафта угроз динамичный и комплексный подход
к защите в настоящее время является основной необходимостью. В моих предыдущих
ролях я искал более формальное исследование этих вопросов; Я надеюсь, что
различные группы внутри и за пределами организаций безопасности найдут эту дискуссию
полезной по мере развития подходов и инструментов. Этот проект укрепил мою
уверенность в том, что темы, которые он охватывает, заслуживают обсуждения и
продвижения в отрасли, особенно в связи с тем, что все больше организаций
используют DevOps, DevSecOps, SRE и
гибридные облачные архитектуры вместе с соответствующими операционными
моделями.
Минимум, Эта книга - еще один шаг в эволюции и совершенствовании
системы и безопасности данных во все более цифровом мире.
Новую книгу можно бесплатно загрузить с веб-сайта Google SRE или приобрести в виде физической копии у предпочитаемого
вами продавца.
Комментариев нет:
Отправить комментарий