Telegram Group & Telegram Channel
Telegram Group » Brazil » Security Wine (бывший - DevSecOps Wine) » Telegram Webview » Post 611
Security Wine (бывший - DevSecOps Wine)
Security Guardrails

Существует термин, введённый Джейсоном Чаном, бывшим директором по информационной безопасности Netflix, который называется "безопасная асфальтированная дорога" (secure paved roads). Этот термин используется в контексте интеграции безопасности таким образом, чтобы она оставалась невидимой. Предположим, разработчики пишут код или администраторы деплоят ресурсы в облако, не осознавая, что делают это безопасно, не придерживаясь при этом множества руководящих принципов.

Звучит как сказка, но в настоящее время это всё чаще обсуждается в контексте реализации так называемых Security Guardrails. Это достаточно общий термин, в рамках которого разработчикам и администраторам по умолчанию предоставляются заведомо безопасные функции, классы, ресурсы и механизмы для повседневной работы. Например, вот авторы статьи предоставили разработчикам кастомные классы Terraform CDK для создания ресурсов RDS. Вместо того чтобы создавать RDS с множеством мисконфигураций, как это обычно происходит, разработчики могут воспользоваться классом DatabaseInstance, в котором уже встроены шифрование, ограничение публичного доступа и другие меры безопасности. Затем они передают класс на исполнение функции generate_databases, и безопасники ликуют.

Развивая данную концепцию, мы приходим к ситуации, когда внутренним пользователям предоставляются исключительно безопасные по умолчанию утилиты, сервисы, механизмы SSO, аутентификации и авторизации, где пользователь заведомо не может сделать что-то неправильно. Это противоречит подходу большинства вендоров, которые стремятся сделать запуск сервисов максимально простым, не зная всех особенностей каждого заказчика. Соответственно, это приводит к поддержке команды безопасности, которая создает Security Guardrails под нужды организации, делая их, при этом, простыми в эксплуатации. Такие команды безопасности обрели название Security Platform Engineers, статьей про которых мы тоже решили поделиться в продолжении повестки. В России развитие таких команд особенно заметно на фоне стремительно появляющихся AppSec платформ, разрабатываемых in-house (привет Альфа-Банк, VK, Yandex и другие).

Это действительно интересная ниша, где видится появление большого количества стартапов. Например, Semgrep даже сделали бесплатный курс про Secure Guardrails, где они объясняют своё видение их применения в контексте своего инструмента.
Zip Engineering
Enabling Security Guardrails: Infra as Code with CDK for Terraform
In this post, we describe how the Zip security team leveraged the Python CDK for Terraform (CDKTF) to enforce security guardrails for our AWS infrastructure. We provide example configurations and code to help other security teams build their own secure AWS…
www.tg-me.com/br/DevSecOps Wine/com.sec_devops/611
4.9K viewsRustam Guseynov



tg-me.com/sec_devops/611
Create:
Last Update:

Security Guardrails

Существует термин, введённый Джейсоном Чаном, бывшим директором по информационной безопасности Netflix, который называется "безопасная асфальтированная дорога" (secure paved roads). Этот термин используется в контексте интеграции безопасности таким образом, чтобы она оставалась невидимой. Предположим, разработчики пишут код или администраторы деплоят ресурсы в облако, не осознавая, что делают это безопасно, не придерживаясь при этом множества руководящих принципов.

Звучит как сказка, но в настоящее время это всё чаще обсуждается в контексте реализации так называемых Security Guardrails. Это достаточно общий термин, в рамках которого разработчикам и администраторам по умолчанию предоставляются заведомо безопасные функции, классы, ресурсы и механизмы для повседневной работы. Например, вот авторы статьи предоставили разработчикам кастомные классы Terraform CDK для создания ресурсов RDS. Вместо того чтобы создавать RDS с множеством мисконфигураций, как это обычно происходит, разработчики могут воспользоваться классом DatabaseInstance, в котором уже встроены шифрование, ограничение публичного доступа и другие меры безопасности. Затем они передают класс на исполнение функции generate_databases, и безопасники ликуют.

Развивая данную концепцию, мы приходим к ситуации, когда внутренним пользователям предоставляются исключительно безопасные по умолчанию утилиты, сервисы, механизмы SSO, аутентификации и авторизации, где пользователь заведомо не может сделать что-то неправильно. Это противоречит подходу большинства вендоров, которые стремятся сделать запуск сервисов максимально простым, не зная всех особенностей каждого заказчика. Соответственно, это приводит к поддержке команды безопасности, которая создает Security Guardrails под нужды организации, делая их, при этом, простыми в эксплуатации. Такие команды безопасности обрели название Security Platform Engineers, статьей про которых мы тоже решили поделиться в продолжении повестки. В России развитие таких команд особенно заметно на фоне стремительно появляющихся AppSec платформ, разрабатываемых in-house (привет Альфа-Банк, VK, Yandex и другие).

Это действительно интересная ниша, где видится появление большого количества стартапов. Например, Semgrep даже сделали бесплатный курс про Secure Guardrails, где они объясняют своё видение их применения в контексте своего инструмента.

BY Security Wine (бывший - DevSecOps Wine)




Share with your friend now:
tg-me.com/sec_devops/611

View MORE
Open in Telegram


DevSecOps Wine Telegram | DID YOU KNOW?

Date: |

That growth environment will include rising inflation and interest rates. Those upward shifts naturally accompany healthy growth periods as the demand for resources, products and services rise. Importantly, the Federal Reserve has laid out the rationale for not interfering with that natural growth transition.It's not exactly a fad, but there is a widespread willingness to pay up for a growth story. Classic fundamental analysis takes a back seat. Even negative earnings are ignored. In fact, positive earnings seem to be a limiting measure, producing the question, "Is that all you've got?" The preference is a vision of untold riches when the exciting story plays out as expected.

Should I buy bitcoin?

“To the extent it is used I fear it’s often for illicit finance. It’s an extremely inefficient way of conducting transactions, and the amount of energy that’s consumed in processing those transactions is staggering,” the former Fed chairwoman said. Yellen’s comments have been cited as a reason for bitcoin’s recent losses. However, Yellen’s assessment of bitcoin as a inefficient medium of exchange is an important point and one that has already been raised in the past by bitcoin bulls. Using a volatile asset in exchange for goods and services makes little sense if the asset can tumble 10% in a day, or surge 80% over the course of a two months as bitcoin has done in 2021, critics argue. To put a finer point on it, over the past 12 months bitcoin has registered 8 corrections, defined as a decline from a recent peak of at least 10% but not more than 20%, and two bear markets, which are defined as falls of 20% or more, according to Dow Jones Market Data.

DevSecOps Wine from br


Security GuardrailsСуществует термин

 Security Wine (бывший - DevSecOps Wine) TG
Webview: 611
Security Wine (бывший - DevSecOps Wine).Telegram Webview
Security Wine (бывший - DevSecOps Wine) Telegram TG Channel
Telegram Updated:
Telegram Security Wine (бывший - DevSecOps Wine)
FROM USA