Как безопасная облачная разработка заменяет инфраструктуры виртуальных рабочих столов

Узнайте от специалистов компании DST Global, как безопасные облачные среды разработки заменяют защищенные ноутбуки и инфраструктуры виртуальных рабочих столов для безопасной разработки приложений.

Зачем организациям нужна безопасная среда разработки?

Необходимость обеспечения безопасности корпоративной ИТ-среды является общей для всех функций организации, и разработка программных приложений является одной из них.

По сути, потребность в защите ИТ-среды в организациях возникает из-за цифровых корпоративных активов, которые они несут. Часто это данные, связанные с вопросами конфиденциальности, обычно в соответствии с такими правилами, как GDPR или HIPAA , или исходный код приложения, учетные данные и совсем недавно операционные данные, которые могут иметь стратегическое значение.

Сценарии угроз, связанные с корпоративными данными, не только связаны с утечкой данных посторонним, но и предотвращают утечку данных инсайдерами с гнусными намерениями. Таким образом, проблема безопасности многогранна: от небрежного обращения с активами до умышленного неправильного обращения.

В случае сред разработки программных приложений сложность проблемы безопасности заключается в учете разнообразия настроек этих сред. Они варьируются от потребностей доступа к данным и конфигурации среды до отношений разработчика с компанией; например, внутренний сотрудник, консультант, временный сотрудник и т. д.

Если оставить в стороне безопасность, среды разработки имеют заведомо сложную настройку и часто требуют значительного обслуживания, поскольку многие приложения и данные локально присутствуют во внутренней памяти устройства; например, интегрированная среда разработки (IDE) и исходный код приложения.

Следовательно, в этих средах защита данных от утечек будет нацелена на локально хранящиеся ресурсы, такие как исходный код, учетные данные и потенциально конфиденциальные данные.

Оценка риска локально хранящихся данных

Давайте сначала сделаем небольшой шаг назад в историю ИКТ и посмотрим на часто цитируемое сравнительное исследование 2010 года под названием «Проблема потерянного ноутбука на миллиард долларов» . Исследование охватывает 329 организаций за 12 месяцев и сообщает, что более 86 000 ноутбуков были украдены или потеряны, что привело к убытку в 2,1 миллиарда долларов США, в среднем по 6,4 миллиона на организацию.

В 2010 году использование облака в качестве носителя корпоративных данных только зарождалось; поэтому сегодня показатели для определения стоимости и последствий потери корпоративного ноутбука, вероятно, будут выглядеть совсем по-другому.

Например, для многих бизнес-функций, которые в то время могли быть затронуты, сегодня облачные приложения предлагают решение, удаляющее конфиденциальные данные с ноутбуков сотрудников. Это в основном сместило дискуссию о безопасности ноутбуков в сторону защиты учетных данных, необходимых для доступа к облачным (или самостоятельным) бизнес-ресурсам, а не к защите самих локально хранящихся данных.

Однако из вышеупомянутого изменения в технологии есть заметное исключение: среды, используемые для разработки кода. По практическим причинам устройства, используемые сегодня для разработки, имеют копию исходного кода проектов в дополнение к корпоративным секретам, таким как учетные данные, веб-токены, криптографические ключи и, возможно, стратегические данные для обучения моделей машинного обучения или тестирования алгоритмов.

Другими словами, все еще существует множество интересных данных, хранящихся локально в средах разработки, которые гарантируют защиту от потери или кражи. Таким образом, интерес к обеспечению среды развития не ослабевает.

Злоумышленники могут преследовать активы в этих средах по разным причинам: от доступа к корпоративной интеллектуальной собственности ( см. взлом Grand Theft Auto 6 ) до понимания существующих уязвимостей приложения с целью компрометации его в работе.

В случае взлома приложение может предоставить доступ к конфиденциальным данным, таким как личная информация пользователя, включая номера кредитных карт. См., например, взлом исходного кода на Samsung . Конечной целью здесь снова является утечка потенциально конфиденциальных или личных данных. Недавними и печально известными хаками такого рода были компания-менеджер паролей LastPass и взлом Mercedes в начале 2024 года .

Несмотря на все эти потенциальные проблемы, возникающие в результате взлома среды одного разработчика, сегодня лишь немногие компании могут точно определить, где находятся копии их исходного кода, секретов и данных (подсказка: скорее всего, на всех устройствах их распределенной рабочей силы), и где они находятся. плохо защищен от потери ноутбука или надвигающейся внутренней угрозы. Напомним, что использование любых сетевых или локальных репозиториев исходного кода, таких как GitHub, не избавляет от каких-либо реплик в средах разработчиков. Это связано с тем, что разработчикам необходимы локальные реплики для обновления кода перед отправкой его обратно в онлайн-репозиторий Git. Следовательно, защита этих сред является проблемой, которая растет с увеличением числа разработчиков, работающих в организации.

Варианты использования виртуальных рабочих столов и защищенных ноутбуков для разработчиков

Желание удалить данные из среды разработчиков распространено во многих регулируемых отраслях, таких как финансы и страхование. Одним из наиболее распространенных подходов является использование машин разработки, доступ к которым осуществляется удаленно.

Citrix и VMware стали ключевыми игроками на этом рынке, предоставив разработчикам возможность удаленного доступа к виртуальным машинам, размещенным в организации. Кроме того, эти платформы реализуют механизмы предотвращения потери данных, которые отслеживают действия пользователей, чтобы предотвратить утечку данных.

Удаленный запуск и доступ к виртуальной машине для разработки имеет множество недостатков, в частности, связанных с производительностью разработчика. Одна из причин заключается в том, что механизм потоковой передачи, используемый для доступа к удаленному рабочему столу, требует значительной пропускной способности для полноценного использования и часто приводит к раздражающим задержкам при вводе кода.

Весь аппарат также сложен в настройке, а также дорог в обслуживании и эксплуатации для организации. В частности, использование виртуальной машины — это довольно тяжелый механизм, требующий для запуска значительных вычислительных ресурсов (следовательно, и стоимости).

Наконец, такая установка является универсальной; т. е. он не предназначен специально для разработки кода и требует установки всего набора инструментов разработки.

По причинам, объясненным выше, многие организации вернулись к защите ноутбуков разработчиков с использованием механизмов безопасности конечных точек, реализующих меры предотвращения потери данных. Точно так же, как и для VDI-аналога, это тоже часто является дорогостоящим решением, поскольку такие ноутбуки имеют сложную настройку. При наборе удаленных групп разработчиков организации часто отправляют эти ноутбуки по почте за большие деньги, что усложняет процесс обслуживания и мониторинга.

Аргументы в пользу безопасных облачных сред разработки

В последнее время виртуализация перешла от эмуляции целых машин к детализации отдельных процессов с помощью технологии программных контейнеров . Контейнеры хорошо подходят для разработки кода, поскольку они предоставляют минимальную и достаточную среду для компиляции типичных приложений, в частности веб-приложений. Примечательно, что по сравнению с виртуальными машинами контейнеры запускаются за секунды, а не за минуты, и для их выполнения требуется гораздо меньше вычислительных ресурсов.

Контейнеры обычно представляют собой инструменты, используемые разработчиками локально на своих устройствах для изоляции программных зависимостей, связанных с конкретным проектом, таким образом, чтобы исходный код мог быть скомпилирован и выполнен без вмешательства в потенциально нежелательные настройки.

Самое замечательное в контейнерах то, что им не обязательно оставаться локально используемым инструментом разработки. Их можно запускать онлайн и использовать в качестве альтернативы виртуальной машине. Это базовый механизм, используемый для реализации облачной среды разработки (CDE) .

Запуск контейнеров онлайн стал одной из самых интересных последних тенденций в виртуализации, соответствующей практикам DevOps, где контейнеры имеют решающее значение для обеспечения эффективного тестирования и развертывания. Доступ к CDE осуществляется онлайн с помощью IDE через сетевое соединение (Microsoft Visual Studio Code имеет такую функцию, как описано здесь ) или с помощью Cloud IDE (IDE, работающая в веб-браузере, например Microsoft Visual Studio Code , Eclipse Theia и других).

Cloud IDE позволяет разработчику получить доступ к CDE с тем преимуществом, что на локальном устройстве не требуется устанавливать среду. Доступ к удаленному контейнеру осуществляется прозрачно. По сравнению с удаленным рабочим столом, как объяснялось ранее, здесь не возникает дискомфорта, связанного со средой потоковой передачи, поскольку IDE выполняется как веб-приложение в браузере. Следовательно, разработчик не будет страдать от задержек отображения, особенно в средах с низкой пропускной способностью, как в случае с VDI и DaaS. Требования к пропускной способности между IDE и CDE невелики, поскольку между ними происходит обмен только текстовой информацией.

В результате в конкретном контексте разработки приложений использование CDE представляет собой упрощенный механизм удаления данных разработки с локальных устройств. Однако это по-прежнему не обеспечивает безопасность, обеспечиваемую Citrix и другими платформами VDI, поскольку CDE созданы для эффективности, а не для безопасности. Они не предоставляют никакого механизма предотвращения потери данных.

Именно в этом заключается необходимость внедрения безопасных облачных сред разработки: CDE с защитой от потери данных представляют собой легкую альтернативу использованию VDI или защищенных ноутбуков для разработки с дополнительным преимуществом в виде улучшенного опыта разработки. Полученная платформа представляет собой безопасную платформу облачной разработки .

Используя такую платформу, организации могут значительно снизить затраты на обеспечение безопасных сред разработки для своих разработчиков.

Переход от виртуальных рабочих столов к безопасным облачным средам разработки

В заключение этого обсуждения ниже я кратко прослежу различные шаги по созданию безопасной облачной платформы разработки, которая сочетает в себе эффективную инфраструктуру CDE со сквозной защитой данных от кражи данных, что приводит к созданию безопасной CDE. .

Первоначально защищенные ноутбуки разработчиков использовались для прямого доступа к корпоративным ресурсам, иногда с использованием VPN, когда они находились за пределами ИТ-периметра. Согласно сравнительному исследованию, о котором я упоминал в начале этой статьи, 41% ноутбуков обычно содержали конфиденциальные данные согласно исследованию, о котором я упоминал в начале этой статьи.

Затем использование виртуальных машин и раннего доступа к веб-приложениям позволило организациям удалять данные из локального хранилища ноутбуков. Однако разработка кода на удаленных виртуальных машинах была и остается трудоемкой задачей.

В последнее время использование облегченной виртуализации на основе контейнеров позволило ускорить доступ к онлайн-средам разработки, но все нынешние поставщики в этой области не обеспечивают безопасность данных, поскольку основным вариантом использования является производительность.

Наконец как считают разработчики DST Global, безопасная платформа облачной среды разработки иллюстрирует ближайшее воплощение защищенного ноутбука для разработки. Безопасные CDE извлекают выгоду из опыта таких новаторских компаний, как Citrix, которые используют возможность отделить среды разработки от традиционного оборудования. Такое разделение позволяет сочетать эффективность инфраструктуры и безопасность без ущерба для опыта разработчиков.