Подкаст T-Suite: Безопасность, исцели себя - Разговор с Джошем Стеллой из Fugue

В первые дни своей карьеры я был менеджером по продукту программного продукта для промышленного управления. У этого программного обеспечения было две работы. Первый заключался в наблюдении за устройствами на производственном участке, чтобы убедиться, что все работает правильно. Второй задачей программного обеспечения была настройка оборудования для оптимизации производительности. По сути, мы занимались IoT, но с подключенными компьютерами и специализированным оборудованием, называемым программируемыми логическими контроллерами (ПЛК все еще используются сегодня, но, конечно, технологии улучшились).

Самовосстановление в эпоху DOS

Удивительно, что наше программное обеспечение могло делать в то время, просто работая под управлением операционной системы DOS. У нас была передовая графика, которая показывала, насколько заполнен бак, и отображала температуру контейнера в баке. Мы могли бы показать движение сырья до конечного продукта. Мы знали, не перегревается ли что-то в установке или напряжение критического компонента было ниже заданного базового уровня.

Вы когда-нибудь читали этикетку на обратной стороне зубной пасты, томатного соуса или [вставьте продукт сюда], где написано «содержит не менее x процентов этого ингредиента и может содержать y ингредиента»? Какими бы удивительными ни были наши заводы-изготовители, они не идеальны. Если вы купили две бутылки зубной пасты одного и того же производителя, велика вероятность того, что в одной из них содержится немного больше фтора, чем в другой. Тем не менее, хороший производитель уже определил пределы того, что означает или .

Одной из самых крутых вещей, которые могло сделать наше программное обеспечение, было предоставление заводам-изготовителям возможности определять передовые методы и стандарты того, как завод должен работать. Если бак становился слишком холодным, он мог нагреть его до нужной температуры. Если машина выплевывает слишком много жидкости, она может уменьшить количество. Мы сделали все это с помощью комбинации компьютера под управлением DOS и ПЛК, которые содержат специализированную логику.

Хотя вмешательство человека всегда было возможным, эта мощная комбинация программного и аппаратного обеспечения позволила нам поддерживать работу производственного предприятия с максимальной производительностью благодаря этим очень ранним методам самовосстановления.

Самовосстановление в эпоху облачных вычислений

В концепции программного обеспечения, автоматически обнаруживающего проблему и ее, нет ничего нового. У всех нас [должно] быть антивирусное программное обеспечение на наших компьютерах, чтобы мы могли хотя бы обезопасить себя от распространенных, известных вирусов. Если ваш компьютер заражен, программное обеспечение попытается ваш компьютер, удалив вирус.

По мере того, как разработчики программного обеспечения продолжают свое движение к облаку, они пишут программное обеспечение, которое не обязательно защищено корпоративными брандмауэрами и считается более безопасным, чем оно есть на самом деле. AWS от Amazon и Azure от Microsoft — две ведущие облачные платформы на рынке сегодня, и обе они позволяют создавать общедоступные базы данных, API-интерфейсы, контейнеры для хранения и многое другое. В то время как эти провайдеры будут обеспечивать безопасность своей платформы, вы должны убедиться, что приложения, которые вы создаете, безопасны.

Что такое безопасность приложений? Что ж, это целая тема, но что AWS и Amazon делают так, чтобы их системы были очень безопасными, а злоумышленники не проникли в их инфраструктуру и не взломали вашу систему. Тем не менее, если вы создаете что-то вроде корзины S3, в которой хранится всякая информация, такая как данные клиентов, важные документы и т. д., и вы не защищаете ее, то это на вас, потому что это ваше , и вы не данные.. К сожалению, плохие актеры ищут эту информацию и находят ее. К счастью, есть хорошие люди, которые присылают полезные советы разработчикам, чтобы решить проблему.

Но вот загвоздка: разработчики не обязательно являются экспертами по безопасности. Я не думаю, что разработчики пытаются создавать небезопасные системы, и они, конечно же, не хотят, чтобы их приложения были взломаны, но они могут быть не в курсе последних и передовых методов обеспечения безопасности. Конечно, мы определяем роли людей для обеспечения безопасности на более глубоком уровне, отсюда и название должности du jour DevSecOps.

Как мы знаем, люди подвержены ошибкам, и разработчики находятся под жестким давлением, чтобы предоставить работающий код. Организации создают список стандартов и лучших практик, но вы не можете гарантировать, что каждый разработчик знает и понимает эти стандарты, и вы не можете ожидать, что они всегда будут составлять контрольный список, чтобы убедиться, что каждый элемент безопасности на месте и все сделано правильно.

Используйте самовосстанавливающиеся решения для обеспечения безопасности или автономное управление и безопасность. Идея здесь состоит в том, чтобы заранее определить лучшие практики безопасности, а затем, когда разработчик кодирует свое решение, сборка кода останавливается (или ), предупреждая разработчика, что они не следуют передовой практике. Кроме того, если код развернут и не соответствует передовым методам, самовосстанавливающееся программное обеспечение автоматически закрывает брешь в безопасности и информирует разработчиков о предпринятых действиях.

Интервью с Джошем Стеллой, техническим директором Fugue

Fugue прокладывает новые пути со своим пакетом программного обеспечения, чтобы обеспечить автономное управление и самовосстановление безопасности для разработчиков, пишущих код для облака. В этом подкасте T-Suite мы поговорим с Джошем Стеллой из Fugue о прошлом, настоящем и будущем технологии самовосстановления и узнаем больше о том, как разработчики могут сделать свои приложения более безопасными.