Offenlegung: Ich war ein eingeladener Redner für Teleport Connect und sie haben meine Kosten übernommen. Allerdings haben sie diesen Blog-Beitrag nicht vorab gesehen oder genehmigt. Ich habe die Konferenz live gebloggt Hier.
Ich besuchte Teleport Connect 2022 Konferenz in San Francisco Anfang dieses Monats. Es war die Eröffnungskonferenz von Teleport und sie brachten ihr Technologieteam und ihre Kunden zusammen, um über die Zukunft einer Plattform zu sprechen, die niemals Passwörter oder Geheimnisse verwendet. Es war faszinierend, dabei zu sein!
Was ist Teleport?
Teleport ist eine Identity-Native-Plattform, die keine Passwörter oder Geheimnisse verwendet. Sie glauben, dass Sie sich keine Sorgen machen müssen, dass Geheimnisse durchsickern oder gestohlen werden, wenn Sie Geheimnisse eliminieren und einen passwortlosen Zugang einführen. Sie können die Hauptursache für Infrastrukturangriffe beseitigen. Dieses Video erklärt, wie es funktioniert.
Ich liebe das Szenario, bei dem sich ein SRE auf den Start in den Tag vorbereitet. Es verstärkt, dass Entwicklerteams sich einfach nur anmelden und mit der Arbeit beginnen möchten. Es ist die Aufgabe des Betriebs, die Plattform bereitzustellen, die dies ermöglicht.
Sicherheit muss die Abteilung für Ja sein
Die Keynote wurde gehalten von Kevin Hanaford, Leiter der Sicherheitstechnik bei Discord. Fast jeder Vortrag kam im Laufe des Tages auf sein Thema zurück. Er erinnerte uns zunächst daran, dass die Sicherheitsteams immer als das Department of No angesehen wurden. Dies geschah aus gutem Grund, um die Menschen vor sich selbst zu schützen. Aber wenn man darüber nachdenkt, sind die Leute bei der Arbeit, um ihre Arbeit zu erledigen. Wenn Ihre Regeln es ihnen erschweren, ihre Arbeit zu erledigen, werden sie einfach Ihre Kontrollen umgehen, um es einfacher zu machen, Dinge zu erledigen.
Kevin machte einen wirklich guten Punkt: Wenn sie Kontrollen umgehen müssen, um Dinge zu erledigen, dann haben die Kontrollen versagt. Die Leute werden immer Richtlinien umgehen, die keinen Sinn ergeben, und die einzig perfekte Sicherheit wäre die vollständige Schließung des Unternehmens.
Sicherheit erhöht auch den Stress am Arbeitsplatz für die Mitarbeiter. Wenn Entwickler beispielsweise den Kontext wechseln müssen, um sich bei einer anderen Plattform/einem anderen Server/einer anderen Datenbank anzumelden, führt das zu Reibungsverlusten und kann sehr frustrierend sein. Hier kommt tatsächlich die menschliche Leistung ins Spiel! Dies ist mein Lieblingsbuch über menschliche Leistungsfähigkeit – Ich sollte wirklich darüber schreiben, wie Plattformen wie Teleport die Landschaft der Leistungsinterventionen verändern.
Kevin sagte, dass Sicherheitsorganisationen zum Ministerium für Ja werden müssen. Es kann nur aufgebaut werden, indem man zugänglich, hilfsbereit und geschäftsbewusst wird. Verstehen Sie, was Sicherheit leisten muss, und beziehen Sie Ihre internen Kunden mit ein. Wissen Sie, was Sie schützen, verstehen Sie die Kultur, verstehen Sie Ihre Verpflichtungen (z. B. Vorschriften) und hören Sie zu. Die Leute werden dir sagen, was los ist, wenn du ihnen zuhörst.
Teleport Connect aus der Sicht des CEO
Ev Kontsevoy, Der CEO von Teleport hielt die zweite Keynote. Es geht um die Skalierung des Infrastrukturzugangs. Mir gefielen die Definitionen, die er gab. Sie müssen zugeben, dass sich unsere Definitionen ändern müssen, wenn wir beginnen, Plattformen für die Ausführung von Multi-Cloud-Workloads zu skalieren.
- Zugang: Konnektivität, Authentifizierung, Autorisierung und Prüfung. Kann eine Lösung all diese Dinge leisten?
- Infrastruktur: Hardware, Software, Peopleware.
- Skalierende Infrastruktur: Skalierung des Zugangs (Schmerz und Risiko) für den Infrastrukturzugang.
Die Skalierung von Software bringt Komplexität mit sich, da es so viele Schichten gibt und die Schichten ihre eigene Anmeldung, RBAC usw. haben. Die Skalierung der Hardware ist derzeit schwierig, da sich alles ändert. Und es ist schwierig, die Leute zu skalieren, weil sie kommen und gehen, ihre eigenen Geräte benutzen, von zu Hause aus arbeiten (oder in einem Café oder im Urlaub …).
Das ist eine Menge, die man allein verwalten muss, und dann muss man herausfinden, wie man alles sichert. Sie müssen es sichern, ohne die Produktivität zu beeinträchtigen. Das ist schwierig, denn Sicherheit und Produktivität stehen im Widerspruch zueinander.
Die meisten erfolgreichen Angriffe folgen einem Muster: Menschen tun etwas, was sie nicht tun sollten, und Angreifer nutzen menschliches Versagen aus. Angreifer dringen über den Exploit ein, greifen dann aber zu kritischeren Systemen über. Versuchen Sie also, Zugangssysteme so zu gestalten, dass sie nicht auf menschlichem Versagen beruhen. Geheimnisse werden durch menschliches Versagen preisgegeben, also gehen Sie von Geheimnissen zu wahrer Identität über. Teleport berücksichtigt geheime Schwachstellen.
Kontinuierliche Teleportzustellung am selben Tag
Dieser Vortrag wurde gehalten von Sako M, Sr. DevOps bei Gerne. Es hat mir wirklich Spaß gemacht, weil er über seine Automatisierungsreise gesprochen hat. Er erinnerte uns daran, dass die Mühe mit jedem hinzugefügten Werkzeug zunimmt. Natürlich wirkt sich die Mühe auf die Entwicklerleistung aus und macht alle langsamer.
Er entwickelte eine fünfstufige Hierarchie für die Automatisierung.
- L1 = manuell, aber hier erstellen Sie ein Playbook
- L2 = Halbautomatisierung, das Team kommt zusammen und entscheidet, was automatisiert werden kann
- L3 = bedingte Automatisierung,
- L4 = hohe Automatisierung, finden Sie interessantere Aufgaben! Ihr Job ist sicher, es gibt so viel zu tun1
- L5 = Vollautomatisierung, End-to-End, kein Eingriff
Ihr Golden Path wird ein wiederverwendbares, gut strukturiertes Referenzmodell sein. Sie können zum Einstieg ein Git-Repository verwenden. Und egal, wo Sie sich in diesem Prozess befinden, wählen Sie die Software aus, die zum Level passt. Er entschied sich für Teleport, weil es ihm dabei half, sein Team zu vergrößern.
Dieser Vortrag hat mir sehr gut gefallen, er war sehr pragmatisch. Wenn Sie alles glauben, was über Multi-Cloud-Workloads vermarktet wird, würden Sie denken, dass jeder alles herausgefunden hat. Dabei befinden sich in Wirklichkeit nur wenige Unternehmen auf L4, geschweige denn auf L5. Beginnen Sie dort, wo Sie sind, und verbessern Sie auf jeder Ebene Ihren Wortschatz und Ihr Verständnis dafür, was erforderlich ist, um noch automatisierter zu werden. Auf diese Weise erhalten Sie letztendlich die Bereitstellungsmetriken, die Ihre Organisation benötigt. Als Betriebsleiter bauen Sie die Plattform auf, die Entwicklern hilft, schnell und häufig bereitzustellen, ohne dass die Verfügbarkeit durch die Einführung neuer Fehler beeinträchtigt wird.
Die nächste Generation stärken
Ich war in einem Panel, das von moderiert wurde Mary D’Onofrio (Partner bei Bessemer Venture Partners). Der andere Diskussionsteilnehmer war Ada Lin, ein Sicherheitsingenieur bei Teleport, der gerade vom IT-Team den Sprung in das Plattformteam geschafft hat. Wir haben darüber gesprochen, wie es war, von Ops zu Dev zu wechseln. Aber wir haben auch darüber gesprochen, wie wichtig die Rolle des Einsatzes ist. Einige von uns sind seit 20 Jahren im Einsatz. Es ist erstaunlich zu sehen, wie sich die Tools und die Software verbessern, um die Arbeit eines Bedieners so einfach zu machen!
Ich glaube nicht, dass eine Sicherheitsabteilung vor 20 Jahren jemals darüber nachgedacht hätte, eine Abteilung zu sein, in der ja, wir hatten einfach nicht die nötigen Werkzeuge. Und eine Plattform nutzen, die Passwörter für eine Schwachstelle hielt? Ich kann mir nicht vorstellen, dass das überhaupt in Betracht gezogen wird. Aber jetzt ist es fast eine Notwendigkeit. Wenn wir Arbeitslasten skalieren wollen, benötigen wir das Wissen, das wir über die Jahre gesammelt haben, sowie die Tools, die uns tatsächlich zur L5-Automatisierung führen können.
Was kommt als nächstes?
Wenn Sie ein Betriebsveteran sind, ist dies eine großartige Zeit, um in der Technik tätig zu sein. Es ändert sich so viel, dass es sich ziemlich chaotisch anfühlt. Hören Sie also zu, lesen Sie und lernen Sie so viel wie möglich. Es ist wichtig, dass wir erfahren, warum die neuen Methoden zum Beispiel für die Sicherheit eingeführt werden. Es ist wichtig, dass Sie Ihre Erfahrung in diese neuen Tools einbringen, aber stellen Sie sicher, dass Sie sie nicht von der Hand weisen. Lassen Sie uns weiterentwickeln und der nächsten Generation helfen, damit sie nicht die ganze Mühe auf sich nehmen muss, die wir auf uns genommen haben.
Ich werde nächste Woche bei AWS Re:Invent sein. Ich würde gerne Ihre Gedanken zur Entwicklung in die Multi-Cloud-Welt erfahren.