Безопасность как код
Что такое Безопасность как код?
Безопасность как кодПрактика описания контролей, тестов и инфраструктуры безопасности в исходном коде, чтобы они версионировались, проходили ревью, автоматизировались и доставлялись вместе с приложениями.
Security as Code (SaC) обобщает идею policy as code на все артефакты безопасности: правила детекта, hardening IaC, IAM-разрешения, конфигурация секретов, модели угроз и security-gate CI/CD хранятся как код в Git и доставляются теми же пайплайнами, что и приложения. Типичные блоки — Terraform-модули с безопасными значениями по умолчанию, бандлы политик Rego/Sentinel, правила CodeQL или Semgrep, детекции Falco/Sigma и манифесты Kubernetes со встроенным security context. Подход даёт историю изменений, peer review, автоматические тесты, обнаружение drift и воспроизводимые выкатки, заменяя ручное hardening по тикетам на непрерывную аудируемую доставку безопасности, интегрированную с DevSecOps.
● Примеры
- 01
Terraform-модуль создаёт кластер EKS с приватными endpoint'ами и audit log'ами по умолчанию.
- 02
Набор правил Semgrep версионируется в репозитории security-rules и обязателен перед merge.
● Частые вопросы
Что такое Безопасность как код?
Практика описания контролей, тестов и инфраструктуры безопасности в исходном коде, чтобы они версионировались, проходили ревью, автоматизировались и доставлялись вместе с приложениями. Относится к категории Облачная безопасность в кибербезопасности.
Что означает Безопасность как код?
Практика описания контролей, тестов и инфраструктуры безопасности в исходном коде, чтобы они версионировались, проходили ревью, автоматизировались и доставлялись вместе с приложениями.
Как работает Безопасность как код?
Security as Code (SaC) обобщает идею policy as code на все артефакты безопасности: правила детекта, hardening IaC, IAM-разрешения, конфигурация секретов, модели угроз и security-gate CI/CD хранятся как код в Git и доставляются теми же пайплайнами, что и приложения. Типичные блоки — Terraform-модули с безопасными значениями по умолчанию, бандлы политик Rego/Sentinel, правила CodeQL или Semgrep, детекции Falco/Sigma и манифесты Kubernetes со встроенным security context. Подход даёт историю изменений, peer review, автоматические тесты, обнаружение drift и воспроизводимые выкатки, заменяя ручное hardening по тикетам на непрерывную аудируемую доставку безопасности, интегрированную с DevSecOps.
Как защититься от Безопасность как код?
Защита от Безопасность как код обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Безопасность как код?
Распространённые альтернативные названия: SaC, DevSecOps как код.
● Связанные термины
- cloud-security№ 839
Политики как код
Практика описания правил безопасности, комплаенса и управления в виде машиночитаемого кода, чтобы их можно было версионировать, тестировать, ревьюить и автоматически применять.
- cloud-security№ 756
OPA (Open Policy Agent)
Универсальный движок политик уровня CNCF Graduated, отделяющий решения по авторизации и admission Kubernetes от приложений с помощью языка Rego.
- cloud-security№ 600
Безопасность Kubernetes
Защита кластера Kubernetes — API-сервера, control plane, узлов, рабочих нагрузок и сети — от ошибок конфигурации, компрометации и латерального перемещения.
- compliance№ 204
Соответствие требованиям
Дисциплина обеспечения соблюдения законов, нормативных актов, договорных и внутренних требований безопасности через документированные меры контроля, сбор доказательств и регулярную оценку.
- cloud-security№ 1014
Безопасность service mesh
Набор средств идентификации, шифрования и авторизации, которые service mesh предоставляет для защиты межсервисного трафика в cloud-native среде.
- network-security№ 1262
Сеть с нулевым доверием
Архитектура сети, которая по умолчанию не доверяет ни одному пользователю, устройству или сервису и требует непрерывной проверки идентичности для каждого соединения.