Four C's of DevSecOps: DevSecOps के चार C - कोड, कंटेनर, क्लाउड और क्लस्टर के बारें में जानें

Safalta Experts Published by: Nikesh Kumar Updated Fri, 31 Dec 2021 06:55 PM IST

पिछले दशक में "क्लाउड" प्रौद्योगिकियों के मामले में भारी उछाल देखा गया है। पहले जिस ऑन-प्रिमाइसेस हार्डवेयर की आवश्यकता होती थी, जो कुशलता से संचालित करने के लिए बड़ी मात्रा में स्थान, शक्ति और प्रतिभा लेता था, अब उसे कम संख्या में DevOps इंजीनियरों द्वारा संचालित किया जा सकता है और मांग और प्रदर्शन आवश्यकताओं को पूरा करने के लिए ऊपर या नीचे बढ़ाया जा सकता है। सॉफ़्टवेयर परिनियोजन के इन नए दृष्टिकोणों ने क्लाउड नेटिव सिद्धांत को बढ़ावा दिया है जो कंटेनरों के माध्यम से अनुप्रयोगों की तैनाती के आसपास केंद्रित है। यह नई, व्यापक तकनीक अपने साथ कई लाभ और कई अन्य विचार लेकर आई है। और शायद सबसे महत्वपूर्ण विचार सुरक्षा है।
 
डेवसेकॉप क्या है?
 
एक DevSecOps परिभाषा स्थापित करना एक बिना दिमाग के लग सकता है।

Free Demo Classes

Register here for Free Demo Classes

Please fill the name
Please enter only 10 digit mobile number
Please select course
Please fill the email
Something went wrong!
Download App & Start Learning

Source: Safalta

यह अभ्यास सुरक्षा टीम को DevOps वर्कफ़्लो में लाता है, विकास, संचालन और सुरक्षा के साथ अब एक एकीकृत लक्ष्य की दिशा में सहयोगात्मक रूप से काम कर रहा है।

क्या 2022 में आपके लिए DevOps करियर सही है, साथ ही जानें DevOps की भूमिकाएं
 
उस ने कहा, प्रक्रिया केवल कुछ नए DevSecOps टूल को एकीकृत करने से परे है। इस लेख में, हम अधिक विस्तार से कार्यप्रणाली में खुदाई करेंगे, मुख्य DevSecOps लाभों की रूपरेखा तैयार करेंगे, और इसके घोषणापत्र की सामग्री पर स्पर्श करेंगे ।
 
DevSecOps इंजीनियर्स: ये व्यक्ति आईटी संरचना के विन्यास, सुरक्षा खतरों की पहचान करने और सॉफ्टवेयर विकास को सुरक्षित करने के लिए जिम्मेदार हैं। उनका काम आईटी सुरक्षा पेशेवर भूमिकाओं की एक अच्छी डील के समान है।
 
क्लाउड- सुरक्षा के 4C-
 
यहां चार सी में पाए जाने वाले कुछ सबसे आम मुद्दे हैं: क्लाउड, क्लस्टर, कंटेनर और कोड दिए है-
 
क्लस्टर सुरक्षा-
 
समूहों का प्रबंधन करते समय संगठनों को तीन मुख्य तत्वों पर ध्यान देना चाहिए
 
क्लस्टर घटकों के लिए कमजोर अभिगम नियंत्रण- कुबेरनेट्स की दुनिया में, क्लस्टर में वर्कर मशीनों का एक सेट होता है, जिसे नोड्स कहा जाता है, जो कंटेनरीकृत एप्लिकेशन चलाते हैं। वर्कर नोड्स पॉड्स को होस्ट करते हैं जो एप्लिकेशन वर्कलोड बनाते हैं। एक कंट्रोल प्लेन क्लस्टर में वर्कर नोड्स और पॉड्स को मैनेज करता है। क्लस्टर का प्रबंधन करते समय कमजोर पहुंच नियंत्रण प्रमुख सुरक्षा मुद्दों में से एक है। एक नया क्लस्टर तैनात करते समय एपीआई सर्वर एक्सेस को नियंत्रित करने और आदि के लिए सीधी पहुंच को प्रतिबंधित करने जैसी चीजें आवश्यक होनी चाहिए।

यह भी पढ़ें
स्टार्टअप्स के लिए 10 सर्वश्रेष्ठ डिजिटल मार्केटिंग स्ट्रेटजी क्या हैं?
 
खराब क्लस्टर नेटवर्किंग- कंटेनरों, पॉड्स और सेवाओं के बीच संचार के लिए भी सख्त नियंत्रण की आवश्यकता होती है। यह सुनिश्चित करना महत्वपूर्ण है कि Kubernetes नेटवर्किंग मॉडल एक कंटेनर नेटवर्क इंटरफ़ेस (CNI) का उपयोग करके सुरक्षित रूप से लागू किया गया है जो उपयोगकर्ताओं को नेटवर्क नीतियों का उपयोग करके पॉड ट्रैफ़िक को प्रतिबंधित करने की अनुमति देगा।
 
अनुचित क्लस्टर सेवा कॉन्फ़िगरेशन- क्लस्टर में चल रहे सर्वर के लिए उचित विन्यास और अभिगम नियंत्रण एक ही तर्क का पालन करना चाहिए। एक अनुशंसित सर्वोत्तम अभ्यास पहुंच को प्रतिबंधित करने के लिए एक एक्सेस-अनुमति सूची सेट करना और कम-विशेषाधिकार सिद्धांतों के साथ क्लस्टर चलाना है। कुबेरनेट्स के पास एक व्यापक दस्तावेज है जो इस बात पर चर्चा करता है कि क्लस्टर को आकस्मिक या दुर्भावनापूर्ण पहुंच से कैसे बचाया जाए। साथ ही, क्लस्टरों के लिए उचित प्रमाणीकरण और प्राधिकरण स्थापित करना, ट्रांसपोर्ट लेयर सिक्योरिटी (TLS) का उपयोग करके ट्रैफ़िक को एन्क्रिप्ट करना और गोपनीय जानकारी का उपयोग करके संवेदनशील जानकारी की सुरक्षा करना महत्वपूर्ण है।

DevOps इंजीनियर कौन होते है और एक DevOps इंजीनियर के लिए चाहिए कौन सी योग्यताएं
 
क्लाउड सुरक्षा-
 
इस ढांचे में क्लाउड लेयर सर्वर चलाने वाले बुनियादी ढांचे को संदर्भित करती है। क्लाउड सेवा प्रदाता (सीएसपी) एक सुरक्षित क्लाउड इन्फ्रास्ट्रक्चर स्थापित करने के लिए जिम्मेदार हैं। फिर भी, व्यवसायों को क्लाउड सुरक्षा के लिए साझा जिम्मेदारी मॉडल को समझना चाहिए। मॉडल के लिए व्यवसायों को क्लाउड सेवाओं के भीतर रहने वाले अपने डेटा की सुरक्षा बनाए रखने के लिए इन सेवाओं की जांच और कॉन्फ़िगर करने की आवश्यकता होती है।
 
ऑटोमेशन की खामियां—नई प्रणालियां बनाते समय और नए अनुप्रयोगों करते समय, गति और दक्षता में सुधार के लिए स्वचालन आदर्श हो सकता है। हालाँकि, यह त्रुटियों और सुरक्षा मुद्दों को बहुत तेज़ी से प्रसारित कर सकता है यदि उनकी ठीक से जाँच और निगरानी नहीं की जाती है। संगठनों को अपनी वास्तुकला के विभिन्न पहलुओं को ठीक से और कुशलता से सुरक्षित करने में सक्षम होना चाहिए।
 
गलत कॉन्फ़िगरेशन समस्याएँ—गलत कॉन्फिगरेशन क्लाउड सुरक्षा की सबसे प्रसिद्ध चुनौती है। ये सरल कॉन्फ़िगरेशन गलतियाँ हैं जिनका साइबर अपराधियों द्वारा लाभ उठाया जा सकता है, व्यवसायों के राजस्व और प्रतिष्ठा की लागत। कई सेवाएं और एप्लिकेशन डिफ़ॉल्ट सेटिंग्स के साथ बनाए जाते हैं जो उन्हें उस वातावरण को देखते हुए उजागर और असुरक्षित छोड़ देते हैं जिसमें वे चल रहे हैं। क्लाउड आर्किटेक्चर की बढ़ती विविधता के साथ, गलत कॉन्फ़िगरेशन का जोखिम बढ़ जाता है, अनिवार्य रूप से खतरे वाले अभिनेताओं के लिए अवसर पैदा करता है।

एडब्ल्यूएस क्लाउड प्रैक्टिशनर नौकरी विवरण
 
कंटेनर सुरक्षा-
 
क्लस्टर में कंटेनरों को चलाने के लिए कंटेनर रनटाइम इंजन (सीआरई) की आवश्यकता होती है। डॉकरशिम के पदावनत होने से पहले डॉकर सीआरई में सबसे लोकप्रिय था, लेकिन कुबेरनेट्स कंटेनरड या सीआरआई-ओ जैसे अन्य का भी समर्थन करता है।
 
अज्ञात स्रोत- यह सुनिश्चित करना महत्वपूर्ण है कि कंटेनर में उपयोग की जा रही छवि ज्ञात स्रोतों या ज्ञात रजिस्ट्रियों द्वारा बनाई गई है। छवियों पर हस्ताक्षर करने और कंटेनरों की सामग्री के लिए विश्वास की एक प्रणाली बनाए रखने के लिए TUF या Docker Content Trust (DCT) जैसे छवि हस्ताक्षर उपकरण का उपयोग करना एक अनुशंसित सर्वोत्तम अभ्यास है।
 
कमजोर विशेषाधिकार सेटिंग्स- कंटेनरों को केवल उन उपयोगकर्ताओं के साथ चलाना चाहिए जिनके पास अपने कार्यों को करने के लिए आवश्यक न्यूनतम OS विशेषाधिकार हैं।
 
कोड सुरक्षा-
 
कोड या एप्लिकेशन लेयर वह जगह है जहां संगठनों का सबसे अधिक नियंत्रण होता है। सुरक्षा जोखिम को केवल उजागर सेवाओं, बंदरगाहों और एपीआई समापन बिंदुओं को प्रतिबंधित और मॉनिटर करके प्रबंधित किया जा सकता है। एप्लिकेशन परत में और सुरक्षा जोड़ने के लिए, सभी संचारों को आंतरिक सेवाओं के बीच भी, TLS एन्क्रिप्शन का उपयोग करना चाहिए

यह भी पढ़ें
Career in Data Science in 6 Easy Steps
 
असुरक्षित कोड- स्टेटिक कोड विश्लेषण (एससीए) कोड के भीतर सुरक्षा मुद्दों का पता लगाने के सर्वोत्तम और तेज तरीकों में से एक है। विकास पाइपलाइन में एम्बेडेड कम से कम एक स्थिर विश्लेषण उपकरण होने की सिफारिश की जाती है जो हर बार डेवलपर्स द्वारा नया कोड करने पर असुरक्षित कोडिंग प्रथाओं की जांच करता है।
 
सॉफ्टवेयर निर्भरता का जोखिम- सभी क्लाउड-देशी अनुप्रयोगों के 70% और 90% के बीच लाइब्रेरी से बने होते हैं या तृतीय-पक्ष निर्भरताएं होती हैं। ये कोड के टुकड़े हैं, जो शायद तीसरे पक्ष द्वारा लिखे गए हैं, चल रहे हैं और एप्लिकेशन में एम्बेड किए गए हैं। इन्हें आमतौर पर स्थैतिक विश्लेषण चरण के दौरान चेक नहीं किया जाता है।
 
Most Popular Machine Learning Tools Top 5 Machine Learning Companies Pros and Cons of Data Science
Career in Marketing Management Digital Marketing Resume Guide Career in Data Science in 6 Easy Steps
How to Build a Successful Data Analyst Career Digital Marketing and How Does It Work Data Entry Operator Earning

Free E Books