applicationセキュリティはシフトレフトしています。 その結果、DevOps チームのセキュリティに対する責任がますます大きくなっています。 開発ライフサイクル プロセスに関する DevOps の専門知識があれば、ソフトウェア ライフサイクルの早い段階でセキュリティ要件を効果的に導入できますが、これらのチームには脅威を予測するためのリソースや、最新のapplicationsを保護するために必要なさまざまなセキュリティ ソリューションやポリシーを実装するための幅広い専門知識がない可能性があります。
ネイティブ クラウド セキュリティ サービスは、DevOps およびビジネス ユニット開発者に、多くのapplication要件に適したプラットフォーム固有のオプションを提供します。 しかし、組織がマルチクラウド ソリューションを導入するケースが増えるにつれ、これらのネイティブ サービスのコストがメリットを上回り始めます。 単一のクラウド プラットフォームでは少数のセキュリティ サービスで十分ですが、2 つ以上のクラウド プラットフォームで同じ保護を提供するには、多数のセキュリティ サービスが必要になります。 各プラットフォームには独自の ID 管理要件、セキュリティ ポリシー、API、管理手順があり、全体的な効率が低下します。 運用効率とセキュリティの向上は、企業のデジタル トランスフォーメーションイニシアチブと企業リーダーシップの目標にとって最優先事項です。
ネイティブ セキュリティ サービスに関連する実装と管理の複雑さは、運用の非効率性を引き起こす最初の大きな原因です。 複数のネイティブ セキュリティ サービスのすべてのコンポーネントを管理することに伴う困難は、ビジネスに重大な悪影響を及ぼす可能性があります。 誤った設定によるセキュリティギャップ 攻撃の 66% で、この脆弱性が悪用されました (攻撃者が Webapplicationファイアウォールの欠陥を悪用してアカウントの資格情報にアクセスするか、または攻撃者が誤って構成されたリソースを利用するかのいずれか)。 DevOps エンジニアには、市場投入までの最短時間を特定することが求められます。 複数のクラウド プロバイダーにわたるセキュリティ ポリシーの維持と理解に関連するオーバーヘッドを削減することで、DevOps チームはその目標に注意とリソースをより集中できるようになります。
マルチクラウド環境内のすべてのapplicationsにわたって一貫したセキュリティ ポリシーを実装できるサードパーティ ベンダーに移行すると、DevOps チームにかかるセキュリティ実装のオーバーヘッドの量を大幅に削減できます。 このタイプのサービスを使用することで、セキュリティの誤った構成が実稼働環境にプッシュされる頻度を減らすことができます。 標準化に使用できる一連の自動化ツールを DevOps チームに提供することで、CI/CD パイプラインでのポリシーと構成の統合が簡素化され、セキュリティ サービスを既存のエンタープライズ自動化ツールチェーンに統合できるようになります。
クラウド インフラストラクチャのセキュリティ可視性の低さは、ネイティブ セキュリティ サービスの使用に伴う運用効率の低下のもう 1 つの原因です。 ネイティブ サービスを使用すると組織はより迅速な展開のメリットを享受できますが、調査回答者の 36% は、これらのネイティブ サービスではクラウド セキュリティ インフラストラクチャの可視性が十分に提供されないことを認めています。 DevOps チームがapplicationセキュリティの展開と管理を担うことが増えていますが、エンタープライズ セキュリティの監視とレポートは依然として SecOps の責任です。 分散型およびネイティブのクラウド セキュリティ サービスでは、セキュリティ レポートと分析もデフォルトで分散され、クラウド固有になります。 分析の分散的な性質により、システム全体のセキュリティ環境がわかりにくくなります。 その結果、SecOpsチームは 個別のプロバイダー固有の推奨事項を提供します。 標準化されたマルチクラウド セキュリティ ベンダーを通じて実装された共通セキュリティ サービスを使用することで、すべてのapplications間で同じセキュリティ ポリシーが共有されます。 これにより、SecOps は共有されたセキュリティ分析に基づいて、システム全体にメリットをもたらす推奨事項を作成できます。
さまざまなクラウド プロバイダー間でのコンプライアンスを確保するマルチクラウドセキュリティ戦略を採用する必要性は、ネイティブ セキュリティ サービスによる運用の非効率性のもう 1 つの原因です。 DevOps チームは、社内および業界のセキュリティ要件の両方に準拠する必要があります。 歴史的に、集中化された情報セキュリティ チームは、特に機密情報や保護された個人情報を扱う医療や金融サービスなどの組織において、applications全体のセキュリティ制御の確立と監査を支援しています。 applicationセキュリティの左方向へのシフトにより、DevOps は SecOps と同様に、エンタープライズ セキュリティ要件との整合性を維持する責任を負うようになりました。 ネイティブ セキュリティ ポリシーが AWS、Azure、Google Cloud など特定のクラウド プロバイダに固有のものである場合、エンタープライズ セキュリティ要件を維持することは困難です。 監査の効率も低下します。 共通のマルチクラウド セキュリティ ポリシーを導入すると、セキュリティ構成の監査にかかる時間が短縮されます。 可視性ソリューションを組み込むことで、組織はコンプライアンス テストの複雑さを軽減し、チーム間のコラボレーションを改善するワンストップ ショップを構築できます。
application開発規則の変更により、DevOps の管轄範囲に含まれるセキュリティ関連の責任が増加しました。 したがって、これらのチームを DevSecOps と呼び、これを SecOps セキュリティ運用モデルの一部として認識する方が正確です。 ネイティブのプロバイダー固有のセキュリティ ポリシーを継続的に使用すると、管理上のオーバーヘッドが大幅に増加し、DevOps モデルのメリットの多くが失われます。 マルチクラウド エンタープライズ セキュリティ ソリューションの標準化により、運用効率が向上し、新しい戦略的セキュリティ パートナーとつながる機会が生まれ、マルチクラウド環境に移行する際に運用効率が低下する可能性が軽減されます。