เมื่อ Security ไม่ใช่เรื่องตลก DevSecOps จึงเข้ามา…
ย้อนกลับไปสักเกือบ 10 ปีก่อน ผมเชื่อว่าหลายๆคนน่าจะยังไม่คุ้นชินกับคำว่า DevOps สักเท่าไหร่ ผมได้ยินคำนี้ครั้งแรกตอนจบใหม่ แล้วก็ยัง งง งวยเป็นไก่ตาแตก เพราะในสมัยนั้นยังไม่มี Docker ที่ทำให้ชีวิตเราผลิบานอย่างในทุกวันนี้
กลับมามองในปัจจุบันแนวคิดเรื่อง DevOps แทบจะไม่ใช่เรื่อง Optional อีกต่อไปแล้ว แต่กลับแพร่หลายและกลายเป็นสิ่งที่ Must Do ในบริษัท Tech ทุกที่ต้องคำนึงถึง
ในโลกเทคโนโลยีหลายๆอย่างพัฒนาไปอย่างรวดเร็ว DevOps ก็เช่นกัน เมื่อปัจจุบัน Security ไม่ใช่เรื่องตลกอีกต่อไป แนวคิดของ DevOps “อาจจะ” ยังไม่เพียงพอ
DevOps Recap
พอพูดถึง DevOps หลายคนนึกถึงอะไร ? เราเข้าใจนิยามมันถูกต้องแล้วหรือยัง ? เรามาลองย้อนถามตัวเองกันดูก่อนว่าเราเข้าใจคำว่า DevOps ว่ายังไง
ผมเชื่อว่าพอเราพูดถึงคำนี้ หลายๆคน คงนึกถึงแค่เรื่อง CI + CD การ build, test, deploy บลาๆ ซึ่งมันก็ถูกต้องในส่วนหนึ่ง
แต่รากฐานของมันคือการร่วมมือกันของฝั่ง Development Team+ Operation Team เพื่อเพิ่มความสามารถในการพัฒนา Application ของเราสู่ตลาด ซึ่งรวมไปถึง การรับ Feedback สื่อสาร ปรับปรุง แก้ไข Application ซึ่งทั้งหมดนี้ “ควร” ทำได้อย่างรวดเร็ว
DevOps = Development Team (Software)+ Operations Team (IT)
ทีนี้จะทำยังไงให้มันเร็ว ? ก็จะเริ่มมีการนำ Tools ต่างๆเข้ามาใช้ พอถึงตรงนี้มันก็จะเป็นนามธรรมมากขึ้น ตั้งแต่การทำ CI/CD เพื่อเพิ่ม Agility ในการ Test/Deploy Application รวมไปถึงการทำ Monitoring System เพื่อนำ User Data มาใช้ในการทำ Planning ต่อไป หรือแม้แต่การหา Issue ที่มาจากลูกค้า ก็จะทำได้ไว ซึ่งเมื่อทั้งหมดนี้มารวมกัน งานมันก็จะ Smooth ขึ้นทั้งทีม Development และ Operation ก็จะ React ต่อสิ่งที่จะเกิดขึ้นได้ทันท่วงที
ถ้าใครอยากได้ Detail ในเรื่อง DevOps แบบจัดจ้าน จ๊วบจ๊าบ ก็ลองอ่าน blog ของทาง AWS ได้ ที่นี่
Introducing you to “DevSecOps”
จริงๆแล้วถ้าเราเข้าใจ DevOps แล้วก็ไม่ใช่เรื่องยาก เพราะ DevSecOps เราก็แค่เพิ่มในส่วนของ Security เข้าไป พูดง่ายๆ คือ จาก DevOps Tools เดิมที่เราทำไว้แล้ว เราก็เพิ่ม Security Practice เข้าไปให้มันสมบูรณ์ยิ่งขึ้น
เมื่อ DevOps = Development Team + Operation Team ฉะนั้น
DevSecOps = Development Team + Security Team + Operation Team
เพราะ Security Practice ที่ดีควรมาจากคนหรือทีมที่รู้เรื่องนี้เป็นอย่างดี ดังนั้นการจะ Integrate ส่วนนี้เข้าไป Security Team ในบริษัทนั้นๆจะรู้ดีที่สุดว่า Part ไหนที่เป็น Priority หลักหรือยังเป็นงาน Manual ที่ควรจะ Automate เพื่อลดความผิดพลาดลง เราก็สามารถนำมาพัฒนาต่อยอดได้
Security as Code Culture = DevSecOps
ลองยกตัวอย่าง Security Practice กันหน่อย เพื่อให้เห็นภาพมากขึ้น
- Security Awareness Culture (Coding)
- Code Scanning (3rd party libs, any risks about code)
- Make Any Security Testing to Automate Pipeline
สรุป
สุดท้าย เราต้องเข้าใจก่อนว่าทั้ง DevOps และ DevSecOps มันไม่ใช่แค่วิธีการแต่มันควรจะเป็น Culture เมื่อทุกคนให้ความสำคัญในสิ่งนั้นๆเหมือนกัน มันถึงจะแสดงประสิทธิภาพได้อย่างที่มันควรจะเป็น
แม้ว่าการทำ DevSecOps อาจจะยังไม่ใช่สิ่ง Must Do ในปัจจุบัน เพราะอาจจะยังรู้สึกว่ามันไกลตัว แต่ถ้าเรามาคิดกันดูดีๆ ข้อมูลต่างๆในระบบของเรานั้น มันไม่ใช่เรื่องตลก ถ้ามันถูก Expose ออกไปอะไรจะเกิดขึ้นบ้าง ดังนั้น DevSecOps Culture ก็อาจจะไม่ไกลตัวอย่างที่คิด
