Джин Ким - Руководство по DevOps

Мэри Смит (имя вымышлено) возглавляет инициативную группу DevOps в подразделении крупной американской финансовой организации, занимающейся банковским обслуживанием физических лиц. Она заметила, что служба информационной безопасности, аудиторы и регулирующие органы часто полагаются только на анализ кода, чтобы обнаруживать факты мошенничества. Вместо этого, чтобы сократить риски, связанные с ошибками и защитой данных, им следовало бы больше полагаться на средства мониторинга работы сервисов в эксплуатации вкупе с автоматизированным тестированием, анализом кода и оценкой качества.

Смит отмечает:

«Много лет назад у нас был разработчик, оставивший лазейку в коде, развертываемом в наши банкоматы. В нужный момент он мог переводить банкоматы в профилактический режим и получать наличные деньги. Эту мошенническую схему мы раскрыли быстро, и не с помощью анализа кода. Такие способы обхода защиты сложно, даже практически невозможно обнаружить, когда у злоумышленника достаточно мотивации, навыков и благоприятных возможностей.

Однако мы смогли быстро обнаружить мошенничество во время регулярных встреч группы эксплуатации для анализа, когда кто-то заметил, что банкоматы в городе переходят в режим обслуживания не по расписанию. Мы раскрыли схему даже до запланированной проверки наличности в банкоматах, когда аудиторы сверяют реальное количество денег с проведенными транзакциями».

В этом примере из практики противозаконная операция произошла, несмотря на процессы управления изменениями и разделение обязанностей между разработкой и эксплуатацией, но обнаружение и исправление бреши безопасности стали возможными благодаря эффективной эксплуатационной телеметрии.

В этой главе мы обсудили методики, помогающие сделать заботу об информационной безопасности работой всех сотрудников компании. В этих методиках все цели по защите данных встроены в повседневную работу всех участников потока ценности. Благодаря такому подходу мы значительно улучшаем эффективность средств контроля, чтобы успешно предотвращать появление брешей в системе безопасности, а также быстрее их обнаруживать и устранять. Кроме того, мы можем сильно сокращать объемы работы, связанные с подготовкой и прохождением аудиторских проверок.

В главах этой части мы изучили то, как применять принципы DevOps в информационной безопасности и сделать заботу о защите данных частью ежедневной работы. Надежная система безопасности гарантирует, что мы разумно и осторожно обращаемся с данными, можем быстро оправиться от проблем, связанных с нарушением защиты информации, до того, как последствия станут катастрофическими, и — это важнее всего — можем поднять безопасность наших систем и данных на новую, казавшуюся невозможной высоту.

Мы завершили подробное изучение принципов и методик DevOps. Сегодня все технические руководители сталкиваются с проблемами безопасности, надежности и гибкости, происходят масштабные технологические изменения, постоянно случаются утечки данных и нужно срочно выводить на рынок новые продукты. DevOps предлагает решение всех этих проблем. Мы надеемся, что книга помогла вам составить подробное представление о поисках решения.

Мы говорили, что, если не прикладывать специальные усилия, между разработкой и эксплуатацией возникнет неизбежный конфликт, порождающий всё более серьезные проблемы, а они приведут к увеличению сроков создания новых продуктов, снижению качества, росту числа сбоев и неполадок, чрезмерному вниманию к срочным делам в ущерб важным, сокращению производительности труда и росту профессионального выгорания сотрудников.

Принципы и методики DevOps позволяют разрешить этот хронический конфликт. Мы надеемся, что вы увидите, как трансформация DevOps помогает создавать динамичные, ориентированные на обучение компании и быстрый поток, выводя стандарты надежности и безопасности на мировой уровень, а также усиливая конкурентоспособность и увеличивая удовлетворенность сотрудников своей работой.

Подход DevOps требует новых культурных и управленческих норм, а также изменений в технических методиках и в архитектуре. Для этого нужно тесное сотрудничество руководства компании, подразделений управления продуктами, разработки, тестирования, эксплуатации, информационной безопасности и даже маркетинга, где часто зарождаются многие перспективные идеи. Когда все команды работают вместе, мы можем создать безопасную систему работы: небольшие группы быстро и самостоятельно пишут и проверяют код, его можно безопасно развертывать в эксплуатацию. В результате максимизируются продуктивность разработчиков, удовлетворенность сотрудников работой и способность компании накапливать опыт и отвоевывать рынок у конкурентов.