⚙️ Open Source-инструменты для DevSecOps
Со-основатель и технический директор Hilbert Team Алексей Цыкунов выступил на первой масштабной конференции по Application Security и DevSecOps в Казахстане AppSecFest Almaty, где поделился опытом построения DevSecOps-пайплайна с помощью Open Source-инструментов:
“Если мы нашли ошибку на фазе разработки, то исправить её достаточно легко без особых затрат. Когда ошибка найдена на этапе сборки, временные и финансовые затраты возрастают в 2 раза, на фазе интеграционного тестирования – в десятки раз, а на финальной стадии – в сотни. Поэтому крайне важно учить своих разработчиков безопасной разработке и устранять уязвимости на этапе создания кода”.
Алексей подробно разобрал, какими Open Source-инструментами можно пользоваться на каждой фазе DevSecOps-пайплайна, начиная с pre-commit до post-deploy.
➡️ Выступление целиком смотрите на YouTube
#мероприятия_оффлайн
Со-основатель и технический директор Hilbert Team Алексей Цыкунов выступил на первой масштабной конференции по Application Security и DevSecOps в Казахстане AppSecFest Almaty, где поделился опытом построения DevSecOps-пайплайна с помощью Open Source-инструментов:
“Если мы нашли ошибку на фазе разработки, то исправить её достаточно легко без особых затрат. Когда ошибка найдена на этапе сборки, временные и финансовые затраты возрастают в 2 раза, на фазе интеграционного тестирования – в десятки раз, а на финальной стадии – в сотни. Поэтому крайне важно учить своих разработчиков безопасной разработке и устранять уязвимости на этапе создания кода”.
Алексей подробно разобрал, какими Open Source-инструментами можно пользоваться на каждой фазе DevSecOps-пайплайна, начиная с pre-commit до post-deploy.
➡️ Выступление целиком смотрите на YouTube
#мероприятия_оффлайн
🔥9❤3🤔1
Улыбнул слайд из доклада Дмитрия Родионова из Yandex Cloud 😁⬆️
Миграция в облако — действительно серьезное мероприятие, тем более если у вас не было опыта работы с облачной инфраструктурой. Но она всегда себя окупает в дальнейшем!
А чтобы не было «депрессии», выбирайте себе надежных партнеров, которые пройдут с вами этот путь и помогут разобраться со всеми этими новыми технологиями 🙂
Миграция в облако — действительно серьезное мероприятие, тем более если у вас не было опыта работы с облачной инфраструктурой. Но она всегда себя окупает в дальнейшем!
А чтобы не было «депрессии», выбирайте себе надежных партнеров, которые пройдут с вами этот путь и помогут разобраться со всеми этими новыми технологиями 🙂
😁18👍2❤1
⛈ На что заказчику обратить внимание при миграции
Наша команда реализовала более 100 миграций в облака, и мы заметили несколько распространенных ошибок, с которыми сталкиваются заказчики при миграции в облачную инфраструктуру:
1️⃣ Отсутствие IT-аудита
Миграция в облако требует тщательной подготовки, включая анализ текущей инфраструктуры и ее совместимости с облачными решениями. Чтобы избежать непредвиденных проблем и дополнительных затрат, проведите предпроектное исследование инфраструктуры и составьте ее детальное описание.
2️⃣ Мало внимания к безопасности
Нельзя полагаться исключительно на облачного провайдера для обеспечения безопасности данных. Бизнесу важно использовать соответствующие меры защиты, такие как Security Groups, ACL, антивирус, антиспам, анти-DDoS, WAF, NGFW и др, чтобы избежать утечек данных и нарушения конфиденциальности.
3️⃣ Отсутствие бэкапов
Для обеспечения сохранности данных перед миграцией сделайте резервную копию системы и делайте бэкапы настроек после каждого успешно выполненного этапа миграции.
4️⃣ Недостаток опыта работы с облаками
Сотрудники вашей компании, которые будут в дальнейшем работать с облачной инфраструктурой, должны быть обучены и готовы к работе в новой среде, чтобы избежать ошибок и снижения производительности.
5️⃣ Отсутствие мониторинга
Правильная настроенная система мониторинга является залогом успешной миграции, т к она позволяет определить отклонения в работе инфраструктуры и информационных систем и вовремя предпринять меры по их устранению.
#экспертиза
Наша команда реализовала более 100 миграций в облака, и мы заметили несколько распространенных ошибок, с которыми сталкиваются заказчики при миграции в облачную инфраструктуру:
1️⃣ Отсутствие IT-аудита
Миграция в облако требует тщательной подготовки, включая анализ текущей инфраструктуры и ее совместимости с облачными решениями. Чтобы избежать непредвиденных проблем и дополнительных затрат, проведите предпроектное исследование инфраструктуры и составьте ее детальное описание.
2️⃣ Мало внимания к безопасности
Нельзя полагаться исключительно на облачного провайдера для обеспечения безопасности данных. Бизнесу важно использовать соответствующие меры защиты, такие как Security Groups, ACL, антивирус, антиспам, анти-DDoS, WAF, NGFW и др, чтобы избежать утечек данных и нарушения конфиденциальности.
! Одно из уязвимых мест безопасности – отсутствие или некорректная конфигурация механизмов аутентификации и управления доступами в облаке. Скоро на этом канале мы анонсируем бесплатный курс по этой теме, разработанный совместно с Yandex Cloud.
3️⃣ Отсутствие бэкапов
Для обеспечения сохранности данных перед миграцией сделайте резервную копию системы и делайте бэкапы настроек после каждого успешно выполненного этапа миграции.
4️⃣ Недостаток опыта работы с облаками
Сотрудники вашей компании, которые будут в дальнейшем работать с облачной инфраструктурой, должны быть обучены и готовы к работе в новой среде, чтобы избежать ошибок и снижения производительности.
5️⃣ Отсутствие мониторинга
Правильная настроенная система мониторинга является залогом успешной миграции, т к она позволяет определить отклонения в работе инфраструктуры и информационных систем и вовремя предпринять меры по их устранению.
#экспертиза
👍13🔥2❤1
⚡️ЦБ позволит банкам хранить сведения с банковской тайной в облачных сервисах
Законопроект, который регламентирует IT-аутсорсинг и использование облачных сервисов, уже готов и находится на этапе межведомственного согласования по словам представителей ЦБ.
Это важное событие для рынка, потому что откроет банкам дорогу к активному использованию всех преимуществ сторонних облачных платформ, а также позволит им сократить затраты на внутренние IT-подразделения и сэкономить сотни миллионов рублей в год.
В одном из следующих постов расскажем об успешном кейсе по миграции в облако сервиса для получения банковских гарантий.
#дайджест_новостей
Законопроект, который регламентирует IT-аутсорсинг и использование облачных сервисов, уже готов и находится на этапе межведомственного согласования по словам представителей ЦБ.
Это важное событие для рынка, потому что откроет банкам дорогу к активному использованию всех преимуществ сторонних облачных платформ, а также позволит им сократить затраты на внутренние IT-подразделения и сэкономить сотни миллионов рублей в год.
В одном из следующих постов расскажем об успешном кейсе по миграции в облако сервиса для получения банковских гарантий.
#дайджест_новостей
Ведомости
ЦБ разработал законопроект, упрощающий оборот материалов с банковской тайной
Инициатива регламентирует IT-аутсорсинг и использование облачных сервисов
🔥14👍2❤1🤔1
🏦 Банки и облако
Быстрое развитие финтеха подталкивает классические банки к цифровизации и миграции в облака, чтобы оставаться актуальными для рынка. Возник даже новый тип облачных сервисов – Bank as a Service (BaaS).
Что такое BaaS?
Это модель банкинга на основе открытых интерфейсов. Банковская инфраструктура предоставляется через Open API и позволяют бизнесу легко и с минимальными затратами интегрировать новые финансовые продукты и услуги в свои сервисы.
BaaS выгоден для обеих сторон: бизнес получает доступ к финансовой инфраструктуре, а банк остается в тренде и находит новые каналы для роста. В будущем банки фактически станут маркетплейсами для бизнеса.
Какие есть примеры BaaS в России:
✔️Альфа-Банк в партнерстве c X5 Retail Group запустили кастомизируемый сервис Distributed Treasury and Cash Management (DTCM), который позволяет корпоративным клиентам банка управлять платежами, кредитно-депозитными продуктами и пулом ликвидности внутри больших холдингов.
✔️Росбанк планирует в этом году масштабировать интеграции с партнерами в рамках BaaS и уже создал платформу WSO2 API Manager для создания и управления API.
✔️ Делобанк предоставляет API для подключения финтех-компаний к СПБ.
Центробанк также активно поддерживает развитие направления, в прошлом году представил концепцию внедрения открытых API на финансовом рынке РФ, а в этом году рекомендует внедрение следующих API – информация об организации и продуктах организации, сведения о счетах и продуктах клиента, заявки на действия с банковским счетом, инициирование платежа. В 2024 и 2025 их использование станет обязательным.
#экспертиза
Быстрое развитие финтеха подталкивает классические банки к цифровизации и миграции в облака, чтобы оставаться актуальными для рынка. Возник даже новый тип облачных сервисов – Bank as a Service (BaaS).
Что такое BaaS?
Это модель банкинга на основе открытых интерфейсов. Банковская инфраструктура предоставляется через Open API и позволяют бизнесу легко и с минимальными затратами интегрировать новые финансовые продукты и услуги в свои сервисы.
BaaS выгоден для обеих сторон: бизнес получает доступ к финансовой инфраструктуре, а банк остается в тренде и находит новые каналы для роста. В будущем банки фактически станут маркетплейсами для бизнеса.
Какие есть примеры BaaS в России:
✔️Альфа-Банк в партнерстве c X5 Retail Group запустили кастомизируемый сервис Distributed Treasury and Cash Management (DTCM), который позволяет корпоративным клиентам банка управлять платежами, кредитно-депозитными продуктами и пулом ликвидности внутри больших холдингов.
✔️Росбанк планирует в этом году масштабировать интеграции с партнерами в рамках BaaS и уже создал платформу WSO2 API Manager для создания и управления API.
✔️ Делобанк предоставляет API для подключения финтех-компаний к СПБ.
Центробанк также активно поддерживает развитие направления, в прошлом году представил концепцию внедрения открытых API на финансовом рынке РФ, а в этом году рекомендует внедрение следующих API – информация об организации и продуктах организации, сведения о счетах и продуктах клиента, заявки на действия с банковским счетом, инициирование платежа. В 2024 и 2025 их использование станет обязательным.
#экспертиза
👍11❤1
🔥 Мы запустили новый курс – Аутентификация и управление доступами
Для обеспечения информационной безопасности каждой компании важно использовать надежные механизмы управления доступом к своей инфраструктуре. А системы управления доступом в свою очередь неразрывно связаны с решениями в области
Если всё работает верно, то мы можем определить подлинность каждого пользователя и предоставить ему ровно тот объем доступа, которые ему необходим для выполнения своих задач.
На новом курсе вы научитесь:
● использовать возможности ресурсной модели Yandex Cloud для создания максимально защищенной облачной инфраструктуры;
● настраивать федеративный доступ между вашей IT-инфраструктурой и облаком с помощью SAML-совместимых федераций удостоверений;
● настраивать гранулярный доступ для каждого пользователя в соответствии с его ролью с помощью Yandex Cloud IAM;
● настраивать аутентификацию в приложениях с помощью Keycloak;
● использовать сервисные аккаунты для работы с облачными ресурсами из написанных вами программ;
● настроите мониторинг безопасности облачной инфраструктуры, сбор и анализ аудитных логов с помощью Yandex Audit Trails.
#курсы
Для обеспечения информационной безопасности каждой компании важно использовать надежные механизмы управления доступом к своей инфраструктуре. А системы управления доступом в свою очередь неразрывно связаны с решениями в области
идентификации, аутентификации и авторизации пользователей.Если всё работает верно, то мы можем определить подлинность каждого пользователя и предоставить ему ровно тот объем доступа, которые ему необходим для выполнения своих задач.
На новом курсе вы научитесь:
● использовать возможности ресурсной модели Yandex Cloud для создания максимально защищенной облачной инфраструктуры;
● настраивать федеративный доступ между вашей IT-инфраструктурой и облаком с помощью SAML-совместимых федераций удостоверений;
● настраивать гранулярный доступ для каждого пользователя в соответствии с его ролью с помощью Yandex Cloud IAM;
● настраивать аутентификацию в приложениях с помощью Keycloak;
● использовать сервисные аккаунты для работы с облачными ресурсами из написанных вами программ;
● настроите мониторинг безопасности облачной инфраструктуры, сбор и анализ аудитных логов с помощью Yandex Audit Trails.
#курсы
🔥16👍6
Наши DevOps-инженеры Алексей Колосков и Михаил Кажемский в новой статье рассказали, как встроить автоматизированные проверки безопасности в цикл разработки и находить уязвимости на самых ранних этапах, а также какие для этого использовать бесплатные и опенсорс-инструменты.
Статья будет полезна руководителям и сотрудникам отделов информационной безопасности, разработки и DevOps-команд.
#статьи
Please open Telegram to view this post
VIEW IN TELEGRAM
vc.ru
Как построить DevSecOps-пайплайн на Open Source-инструментах — Разработка на vc.ru
DevOps-инженеры Hilbert Team Алексей Колосков и Михаил Кажемский рассказали, как встроить автоматизированные проверки безопасности в цикл разработки и обнаруживать уязвимости на самых ранних этапах, экономя нервы, время и деньги.
🔥16❤11💯1
Последние несколько лет опросы GitLab показывают, что безопасность является главным приоритетом на рынке, и эта тенденция продолжается в 2023 году. Организации стремятся внедрять проверки безопасности на ранних этапах разработки, а разработчики чаще находят уязвимости и используют инструменты на основе AI и ML для проверки кода.
Несколько цифр из нового отчета GitLab:
Отчет Gitlab Global DevSecOps Report 2023: https://about.gitlab.com/developer-survey/
Предыдущий отчет: https://t.iss.one/hilbertteam/9
#аналитика
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10👍5
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10🔥6💯1
Недавно мы делились с вами зарубежными опросами GitLab в 2022 и 2023 году, а сегодня хотим обратить внимание на некоторые выводы из российского исследования State of DevOps Russia 2023, которое на днях презентовали коллеги по рынку из Экспресс 42, Yandex Cloud и Флант. По данным этого опроса:
72% респондентов так или иначе используют облако: 22% используют одно облако, почти 19% – мультиклаудный режим, 31% – гибридную модель (on-prem + cloud). То есть большая часть полагается на отказоустойчивые решения в виде гибридной системы, что особенно популярно в финансовом секторе.
Отмечается активный рост управляемых Kubernetes сервисов в облаке, в том числе среди крупного бизнеса. Большие российские компании выносят в облако свои среды разработки (DEV, STAGE-окружения), и Kubernetes хорошо работает c точки зрения скорости развертывания динамических сред.
Растет потребность в PaaS-решениях, а IaaS – наоборот, снижается. Наиболее популярные PaaS-решения – это управляемые базы данных (46,5%), управляемые оркестраторы (45%) и CI/CD-сервисы (GitLab) (26%).
Какие преимущества облаков важны клиентам облачных провайдеров? Самыми популярными ответами оказались:
- соответствие требованиям регулятора в части хранения и обработки персональных данных,
- повышение прозрачности расходов на ИТ-инфраструктуру (FinOps),
- возможность сокращения расходов на ИТ-персонал.
Наиболее актуальные задачи в облаке:
- хостинг веб-приложений (размещение веб-сервисов),
- обеспечение отказоустойчивости,
- оркестрация и управление контейнерными кластерами,
- работа с данными и средствами аналитики.
Таким образом, коллеги отметили, что российский облачный рынок становится более зрелым, и пользователи все чаще и чаще выбирают облака для решения своих бизнес-задач.
#аналитика
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11❤4👍1
Вячеслав Бессонов, CEO Hilbert Team, рассказал #РБК о том, что такое методология #FinOps, и как она помогает оптимизировать использование облачной инфраструктуры, тем самым повышая рентабельность бизнеса в целом.
Из статьи вы узнаете:
➡️ Подробнее читайте на РБК
#статьи
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15👍6💯4❤2
К сожалению, для многих разработчиков из-за недостаточно эффективного процесса коммуникации между ИТ и ИБ процесс управления уязвимостями выглядит вот так ⬆️😭
На офлайн-встрече партнеров Yandex Cloud по Security Вячеслав Бессонов, CEO Hilbert Team, поднял этот вопрос и разобрал практический кейс по построению DevSecOps-пайплайна и внедрению процесса управления уязвимостями.
Что мы рекомендуем компаниям для повышения безопасности разрабатываемых продуктов:
✔️ Внедрить DevSecOps путем включения в цикл разработки автоматизированных проверок безопасности. Подробнее мы об этом писали в статье.
✔️ Внедрить специализированные Vulnerability Management инструменты для эффективного анализа уязвимостей и повышения эффективности взаимодействия ИТ и ИБ.
#экспертиза
На офлайн-встрече партнеров Yandex Cloud по Security Вячеслав Бессонов, CEO Hilbert Team, поднял этот вопрос и разобрал практический кейс по построению DevSecOps-пайплайна и внедрению процесса управления уязвимостями.
Что мы рекомендуем компаниям для повышения безопасности разрабатываемых продуктов:
✔️ Внедрить DevSecOps путем включения в цикл разработки автоматизированных проверок безопасности. Подробнее мы об этом писали в статье.
✔️ Внедрить специализированные Vulnerability Management инструменты для эффективного анализа уязвимостей и повышения эффективности взаимодействия ИТ и ИБ.
#экспертиза
🔥9👍5😁4
Где почитать, посмотреть и послушать про FinOps?
Если вы интересуетесь вопросом оптимизации затрат на облако и хотите глубже погрузиться в практику FinOps, то рекомендуем обратить внимание на следующие ресурсы:
📚Книги
Cloud FinOps: Collaborative, Real-Time Cloud Financial Management (2019) — лучшая из всех книг по FinOps, советуем начать изучение темы именно с нее. Вы узнаете, как начать работу с FinOps или усовершенствовать свой текущий подход.
FinOps Handbook for Microsoft Azure (2023) — подробное руководство по оптимизации расходов в облаке Microsoft Azure.
💻 Блоги
FinOps in Practice – обширная база знаний о FinOps от платформы Хайстекс Оптскейл.
Блог Cloud Zero – содержит много хороших статей по конкретным темам, связанным с FinOps и DevOps.
FinOps Foundation – некоммерческая организация, созданная с целью распространения знаний и передового опыта по FinOps.
Лаборатория FinOps – русскоязычное сообщество FinOps-экспертов.
🎞 Видео и подкасты
FinOps-нирвана: как зарабатывать деньги в облаке – доклад CEO Hilbert Team на DevOps Conf.
Реализация FinOps-практик в облаках. Облака, бюджеты и Serverless — выступление Developer Advocate Yandex Cloud Антона Черноусова.
FinOpsPod — англоязычный подкаст по FinOps.
YouTube канал FinOps Foundation — более сотни полезных видео по данной теме.
#подборка_материалов
Если вы интересуетесь вопросом оптимизации затрат на облако и хотите глубже погрузиться в практику FinOps, то рекомендуем обратить внимание на следующие ресурсы:
📚Книги
Cloud FinOps: Collaborative, Real-Time Cloud Financial Management (2019) — лучшая из всех книг по FinOps, советуем начать изучение темы именно с нее. Вы узнаете, как начать работу с FinOps или усовершенствовать свой текущий подход.
FinOps Handbook for Microsoft Azure (2023) — подробное руководство по оптимизации расходов в облаке Microsoft Azure.
💻 Блоги
FinOps in Practice – обширная база знаний о FinOps от платформы Хайстекс Оптскейл.
Блог Cloud Zero – содержит много хороших статей по конкретным темам, связанным с FinOps и DevOps.
FinOps Foundation – некоммерческая организация, созданная с целью распространения знаний и передового опыта по FinOps.
Лаборатория FinOps – русскоязычное сообщество FinOps-экспертов.
FinOps-нирвана: как зарабатывать деньги в облаке – доклад CEO Hilbert Team на DevOps Conf.
Реализация FinOps-практик в облаках. Облака, бюджеты и Serverless — выступление Developer Advocate Yandex Cloud Антона Черноусова.
FinOpsPod — англоязычный подкаст по FinOps.
YouTube канал FinOps Foundation — более сотни полезных видео по данной теме.
#подборка_материалов
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥7