Với tính cấp bách do đại dịch gây ra, các tổ chức thuộc mọi quy mô đang thực hiện những bước đi táo bạo để đẩy nhanh quá trình chuyển đổi kỹ thuật số. Để phát triển nhanh chóng, các doanh nghiệp ngày càng sử dụng các ứng dụng phần mềm dưới dạng dịch vụ (SaaS) như Salesforce, ServiceNow và hàng chục ứng dụng khác làm nền tảng phân phối ứng dụng doanh nghiệp. Thật không may, một số công ty đã thúc đẩy quá trình DevOps phần mềm dưới dạng dịch vụ của họ quá khó và trong khi nỗ lực đạt được tốc độ, lại bỏ qua việc yêu cầu bảo mật phải là một phần của quy trình đó.
Điều này giống như thể giám đốc bán hàng có một tổ chức Salesforce mới sáng bóng và tải lên đó những cải tiến ứng dụng được phát triển nhanh chóng, cho vào một thùng oxit nitơ rồi lấy nó ra để chạy dọc theo đường Mulholland Drive ở Los Angeles, với chiếc kẹp tóc được giấu kín bên trong. những đường cong dọc theo vách đá nhìn ra thành phố. Giám đốc điều hành vội vã của chúng tôi quyết định hạ gục nó ngay lập tức và không nhìn thấy chiếc kẹp tóc quay lại cho đến khi quá muộn.
Khi sử dụng các ứng dụng Salesforce để phân phối một ứng dụng chiến lược, bạn cần có các biện pháp bảo mật tốt nhất được đưa vào quy trình, từ đầu đến cuối, để đảm bảo nhà phát triển và quản trị viên của bạn không gặp khó khăn và tiết lộ thông tin nhận dạng cá nhân (PII) của khách hàng trên Internet . Bạn cần có các biện pháp bảo vệ được nhúng trong quy trình DevOps của mình để triển khai hoạt động phát triển Salesforce tùy chỉnh một cách đảm bảo và tự tin. Hãy tìm hiểu làm thế nào bạn có thể làm điều đó.
Nền tảng an ninh mạng
Biện pháp bảo mật cơ bản là có một cách có hệ thống để đảm bảo nền tảng SaaS được thiết lập đúng cách. Nhiệm vụ hoặc chức năng này thường được gọi là quản lý cấu hình. Tuy nhiên, việc thực hiện công việc này một cách thủ công đang ngày càng trở nên phức tạp đến mức không thể tưởng tượng nổi, vì vậy quản lý cấu hình hiện được coi là mối quan tâm chính về an ninh mạng.
Đặc biệt là trong các hệ thống như Salesforce, có các kết nối đan xen của các mô hình bảo mật được bao phủ. Khi xem xét các gói bảo mật cấu hình SaaS, hãy so sánh các tính năng của các phương pháp tiếp cận dựa trên siêu dữ liệu của chúng. Đây là nơi dịch vụ lần đầu tiên nhập siêu dữ liệu của đối tượng thuê SaaS, tạo mô hình nội bộ thông minh, sau đó tạo báo cáo về các vấn đề liên quan đến thiết lập và bảo mật dữ liệu.
Một số nhà cung cấp còn tiến thêm một bước nữa khi đưa vào một dạng thử nghiệm thâm nhập SaaS tự động được gọi là thử nghiệm bảo mật ứng dụng tương tác (IAST), thường được gọi là thử nghiệm làm mờ hoặc thử nghiệm thời gian chạy. Trong trường hợp này, dịch vụ sử dụng thông tin siêu dữ liệu để tạo khai thác thử nghiệm thời gian chạy tùy chỉnh. Điều này cho phép thực hiện các cuộc kiểm tra chức năng định kỳ để xác định xem hiệu năng thực tế của hệ thống có phù hợp với kết quả mong muốn hay không.
Nhà phát triển An ninh mạng
Khi chúng ta nói về việc chuyển mối quan tâm về an ninh mạng sang “trái” hoặc sớm hơn trong chu kỳ phát triển ứng dụng, điều quan trọng là các nhà phát triển không cảm thấy như tất cả công việc cũng đang chuyển sang trái. Kiểm tra bảo mật ứng dụng (AST) trên nền tảng SaaS cần phải trở nên dễ dàng hơn bằng cách cung cấp cho các nhà phát triển các công cụ quét dành riêng cho SaaS tích hợp chặt chẽ với quy trình phát triển hoặc CI/CD của họ.
Các công cụ bảo mật phần mềm dành cho ứng dụng doanh nghiệp được viết trên nền tảng SaaS thường kiểm tra xem mọi mã được đưa vào hệ thống có gây ra bất kỳ lỗ hổng bảo mật nào hay không. Ví dụ: đây là nơi mà nhà phát triển Salesforce tự mở ra một cuộc tấn công bằng tập lệnh chéo trang hoặc tiêm SOQL. Quét mã nguồn được gọi là kiểm tra bảo mật ứng dụng tĩnh (SAST) và là một rào cản cơ bản trong an ninh mạng của nhà phát triển SaaS.
Bước tiếp theo trong việc bảo vệ lan can an ninh mạng dành cho nhà phát triển là đảm bảo tất cả các gói của bên thứ ba và thư viện phần mềm nguồn mở được sử dụng trong ứng dụng đều được bảo mật. Bảo mật chuỗi cung ứng phần mềm hiện là mối quan tâm lớn với các thư viện công cộng như GitHub và NPM được sử dụng rộng rãi và các cuộc tấn công chuỗi cung ứng phần mềm mới luôn xảy ra. Để giải quyết mối quan tâm quan trọng này, phân tích thành phần phần mềm (SCA) là cần thiết để cảnh báo các nhà phát triển về những vấn đề mới. Các lỗ hổng và nguy cơ phơi nhiễm phổ biến (CVE), đó là những khai thác được báo cáo công khai.
Để giải quyết nhu cầu của nhà phát triển, cần có quyền truy cập API và CLI tốt hơn để tích hợp trơn tru việc kiểm tra bảo mật ứng dụng vào quy trình làm việc của DevOps. SAST và SCA nên được tích hợp tốt hơn vào môi trường nhà phát triển tương tác (IDE) như VS Code và IntelliJ. Việc sử dụng trình quét bảo mật nâng cao của Salesforce sẽ dễ dàng như sử dụng trình nói dối ngôn ngữ.
Đừng đâm vào vách đá
Năm 2021, chính quyền Biden đã ban hành lệnh điều hành yêu cầu thực hành an ninh mạng chặt chẽ hơn. Và gần đây hơn, theo chỉ dẫn của EO 14028, NIST đã ban hành Hướng dẫn về tiêu chuẩn tối thiểu để xác minh phần mềm của nhà phát triển, yêu cầu phân tích cả mã nguồn (SAST) và thư viện phần mềm (SCA), cũng như bắt buộc kiểm tra thời gian chạy và làm mờ (IAST) đối với các yêu cầu kiểm tra bảo mật ứng dụng tối thiểu. Tất cả các biện pháp bảo vệ này hiện là bắt buộc đối với DevOps của chính phủ.
Các doanh nghiệp toàn cầu nên thực hiện nghiêm túc các yêu cầu này, không chỉ khi họ đang cố gắng cung cấp các dịch vụ phát triển SaaS tùy chỉnh cho chính phủ mà còn để bảo vệ dữ liệu SaaS nhạy cảm và PII của khách hàng của chính họ. Vì PII là mục tiêu số 1 của những kẻ tấn công nên tất cả các ngành phải cảnh giác và biến việc kiểm tra bảo mật ứng dụng toàn diện trở thành một phần không thể thiếu trong quy trình SaaS DevOps của họ, đặc biệt là Salesforce, nơi chứa đầy PII.
Việc quan tâm đến vi phạm dữ liệu gắn liền với lỗ hổng an ninh mạng của nền tảng hoặc nhà phát triển thường chỉ xảy ra sau một sai lầm trị giá hàng triệu đô la. Quản lý rủi ro này và giúp đỡ chủ sở hữu cũng như nhà phát triển nền tảng bằng cách đầu tư vào các công cụ quét an ninh mạng dễ sử dụng.
