Một môi trường phần mềm bảo mật
Một nhà cung cấp phần mềm bảo mật phải kiểm chứng logic phát hiện, sự cô lập đa người thuê (multi-tenant) và các pipeline phát hành dưới sự giám sát kỹ lưỡng của khách hàng.
Phân phối an toàn cho các engine phát hiện và dịch vụ bảo mật đám mây
- Ngành
- Phần mềm an ninh mạng
- Môi trường
- SDLC an toàn, các phát hiện (detection) và sản phẩm bảo mật đa người thuê (multi-tenant)
- Thách thức chính
- Hồi quy âm thầm trong phát hiện và cô lập người thuê (tenant)
- Năng lực của Zof
- Security Testing và Remediation Fleets
- Mô hình triển khai
- SaaS đa người thuê (multi-tenant) với các gov cell chuyên biệt
Một tổ chức phần mềm an ninh mạng cung cấp nội dung phát hiện, các control plane đám mây và tích hợp endpoint cho các khách hàng doanh nghiệp và khu vực công.
Các bản cập nhật phát hiện nhanh chóng, dịch vụ đa người thuê (multi-tenant) và yêu cầu SDLC an toàn nghiêm ngặt. Khách hàng yêu cầu bằng chứng về các thực hành kiểm chứng.
Các hồi quy phát hiện hiển hiện với khách hàng nhưng khó bắt được nếu chỉ dùng unit test. Lỗi cô lập người thuê (tenant) có mức độ nghiêm trọng cao nhưng hiếm gặp trong các bài kiểm thử tổng hợp (synthetic).
Các bài tập red-team chỉ diễn ra định kỳ. Bộ kiểm thử CI không mô hình hóa topology của người thuê (tenant) hay các pipeline phát hiện một cách toàn diện.
Zof vận hành trong các gov cell theo khu vực với sự cô lập logic cho từng môi trường. Dữ liệu khách hàng trên môi trường sản xuất không bao giờ được sử dụng; các tenant tổng hợp (synthetic) mô phỏng lại topology.
System Graph mã hóa các pipeline phát hiện, ranh giới người thuê (tenant) và phụ thuộc dịch vụ. Các tác tử nhắm vào các điểm nóng có bán kính ảnh hưởng (blast-radius) trên từng diff.
Testing Fleets chạy các tác tử bảo mật, API và cô lập đa người thuê (multi-tenant) trên mỗi đợt phát hành. Các bản cập nhật nội dung nhận được những fleet hồi quy tập trung.
Remediation Fleets đề xuất bản vá cho các bài kiểm thử cô lập hoặc hợp đồng (contract) bị lỗi. Bộ phận kỹ thuật bảo mật phê duyệt việc merge; các đường khẩn cấp yêu cầu kiểm soát kép.
Chính sách SDLC an toàn định nghĩa các bộ tác tử bắt buộc. Nhật ký thay đổi hướng tới khách hàng tham chiếu các định danh lần chạy kiểm chứng.
GitHub Enterprise, Buildkite, Slack và các công cụ quản lý lỗ hổng kết nối với hệ điều phối.
Các tổ chức kỹ thuật cho biết thời gian rà soát hồi quy giảm từ vài ngày xuống còn vài giờ, xác định được những thay đổi quy trình rủi ro cao trước khi phát hành và tạo ra bằng chứng sẵn sàng cho kiểm toán cho mỗi lần chạy kiểm chứng, được chia sẻ với đội ngũ bảo mật của khách hàng.
Với các nhà cung cấp bảo mật, độ tin cậy chính là niềm tin; hãy kiểm chứng đồ thị hệ thống (system graph) của các phát hiện và người thuê (tenant), chứ không chỉ riêng từng module.
Thêm kịch bản doanh nghiệp khác
- Bán lẻ & thanh toán
POS bán lẻ và thanh toán toàn cầu
Kiểm định thanh toán cuối, xử lý thanh toán và các phụ thuộc tại biên cửa hàng trước các khung giờ giao dịch cao điểm.
Xem kịch bản - Dịch vụ chuyên nghiệp
Kiểm định kiểm toán, thuế và tư vấn
Kiểm định liên tục cho các luồng công việc hợp đồng với bằng chứng sẵn sàng cho kiểm toán ở mỗi lần chạy.
Xem kịch bản - Tin cậy số & định danh
Định danh số và cơ quan cấp chứng thư
Kiểm định có quản trị cho các luồng công việc cấp phát, thu hồi và liền kề HSM.
Xem kịch bản
Củng cố việc phân phối an toàn bằng các fleet có quản trị
Xem cách Testing và Remediation Fleets phù hợp với SDL và mô hình người thuê (tenant) của bạn.
