นักพัฒนาจำเป็นต้องเข้าถึงอุปกรณ์และบริการภายในจำนวนมากเพื่อสร้างซอฟต์แวร์ แต่อุปกรณ์และบริการเหล่านี้จำนวนมากถูกเปิดเผยบนเว็บสาธารณะ ทำให้เกิดช่องว่างในการรักษาความปลอดภัย
เพิ่มความท้าทายในการรักษาความปลอดภัยของการทำงานจากระยะไกล และเป็นที่ชัดเจนว่าต้องมีการปรับสมดุลที่ยุ่งยากเพื่อให้สามารถพัฒนาได้ในขณะที่รักษา องค์กรปลอดภัย เราได้พูดคุยกับ Avery Pennarun ซีอีโอและผู้ร่วมก่อตั้งบริการ VPN Tailscale เพื่อหาวิธีบรรลุผลดังกล่าว
BN: เหตุใดการรักษาความปลอดภัยจึงเป็นปัญหาสำหรับนักพัฒนา
AP: สตาร์ทอัพส่วนใหญ่ไม่ค่อยปลอดภัยเพราะพวกเขาพยายามทำงานให้เสร็จอย่างรวดเร็ว และจนกระทั่งเมื่อไม่นานมานี้ก็มีการแลกเปลี่ยน–โดยเฉพาะอย่างยิ่งสำหรับนักพัฒนา–ระหว่างเส้นทางที่ง่ายและปลอดภัย เส้นทางที่มีความต้านทานน้อยที่สุดคือการทำให้สภาพแวดล้อม dev บน AWS เปิดพอร์ตไฟร์วอลล์ และหวังว่าจะไม่มีใครพบมัน อดีตพนักงานกี่คนที่ยังคงเข้าถึง GitHub ของสตาร์ทอัพของคุณได้ มีนักพัฒนากี่คนที่เปิดพอร์ตทิ้งไว้โดยไม่ตั้งใจ? มันเหมือนกับคำเชิญที่เปิดกว้างสำหรับแฮ็กเกอร์
Tailscale ได้รับการยอมรับจากนักพัฒนาซอฟต์แวร์ในช่วงสองสามปีที่ผ่านมาเพราะมันทำให้วิธีที่ง่ายที่สุดสำหรับนักพัฒนาในการดำเนินงานและยังปลอดภัยที่สุดอีกด้วย ทีมรักษาความปลอดภัยและทีมวิศวกรสามารถอยู่ในหน้าเดียวกันได้ ไม่จำเป็นต้องมีการแลกเปลี่ยน
BN: จุดบอดด้านความปลอดภัยนี้กลายเป็นปัญหาใหญ่เนื่องจากการทำงานจากระยะไกลหรือไม่
AP: Shadow IT เป็นที่แพร่หลายในช่วงที่มีโรคระบาด บริษัทส่วนใหญ่ยังคงมีจุดบอดในการเชื่อมต่อเนื่องจากมีความเสี่ยงไม่เท่ากันเมื่อทุกคนอยู่ในสำนักงานด้วยกัน
หากนักพัฒนาซอฟต์แวร์ต้องการแบ่งปันบางสิ่งกับเพื่อนร่วมงาน นั่นไม่ใช่ปัญหาหากเราทั้งคู่อยู่ใน สำนักงานเดียวกันบนเครือข่ายส่วนตัวเดียวกัน แต่ถ้าเราทั้งคู่นั่งอยู่ที่บ้าน ไม่มีทางที่จะทำอย่างนั้นได้อย่างปลอดภัย ฉันต้องเปลี่ยนสภาพแวดล้อม dev และเปิดพอร์ตในระบบคลาวด์
วิธีแก้ไขปัญหาเหล่านี้เป็นสาเหตุของความเสี่ยงด้านความปลอดภัยจำนวนมาก เราได้แก้ไขปัญหานี้โดยให้นักพัฒนาสามารถสร้างเครือข่ายขนาดเล็ก โดยมีการป้องกันที่ชัดเจนว่าอะไรสามารถเชื่อมต่อกับอะไร ดังนั้นจึงปลอดภัยกว่าที่จะให้พนักงานใช้อุปกรณ์ส่วนตัวของตน
BN: การปรับใช้เครือข่ายส่วนตัวที่มีขนาดเล็กลงมีส่วนช่วยในภารกิจที่ใหญ่ขึ้นได้อย่างไร
AP: ผู้ร่วมก่อตั้งของฉันและฉันใช้เวลาร่วมกันหลายทศวรรษที่ Google ซึ่งเราสร้างผลิตภัณฑ์สำหรับระดับโลก แต่สิ่งสำคัญคือ: โดยส่วนใหญ่ เครื่องมือของคุณจะต้องสามารถเข้าถึงได้จากเครือข่ายขนาดเล็กของอุปกรณ์ไคลเอนต์ เวลาส่วนใหญ่คุณไม่จำเป็นต้องเขียนหรือใช้ซอฟต์แวร์สำหรับผู้ใช้หลายพันล้านคน
ลองนึกดูว่าการสื่อสารทั้งหมดของคุณกับเพื่อน ครอบครัว และเพื่อนร่วมงานเกิดขึ้นใน Twitter สาธารณะหรือไม่ นั่นคงจะบ้าไปแล้วใช่ไหม? แน่นอนว่า Twitter มีจุดประสงค์ แต่สำหรับการสนทนาส่วนใหญ่ของคุณ คุณไม่จำเป็นต้องใช้ การแชทกับเพื่อนใน WhatsApp หรือ Team Slack นั้นเหมาะกับงานนี้มากกว่า และไม่มีนักโจมตีและผู้ส่งอีเมลขยะเข้าร่วมการสนทนาของคุณ
ถึงกระนั้น วิธีที่เราใช้อินเทอร์เน็ตในปัจจุบันก็เหมือนกับการใช้ Twitter สำหรับการสื่อสารทั้งหมด เราใช้อินเทอร์เน็ตเพื่อทำสิ่งต่างๆ มากมายที่เราไม่ต้องการให้ทำ อุปกรณ์ทั้งหมดของเราเชื่อมต่อผ่านอินเทอร์เน็ตสาธารณะตามค่าเริ่มต้น ทุกแอปหรือซอฟต์แวร์ที่เกี่ยวข้องกับการโต้ตอบระหว่างผู้คนต้องสร้างโครงสร้างพื้นฐานทั้งหมดสำหรับจัดการปฏิสัมพันธ์ทางสังคมบนอินเทอร์เน็ตสาธารณะ และนักพัฒนาก็ทำผิดพลาด
หากคุณลดขนาดอินเทอร์เน็ตลงเหลือ คนกลุ่มเล็กๆ ที่คุณไว้วางใจ เขียนซอฟต์แวร์และทำอย่างอื่นให้สำเร็จได้ง่ายกว่ามาก เพราะผู้โจมตีเกือบทั้งหมดไม่ได้อยู่ที่นั่น
ลองนึกถึงการมีกลุ่ม Whatsapp สำหรับงานส่วนใหญ่ของคุณ จำเป็นต้องทำวันต่อวัน–นั่นคือสิ่งที่ Tailscale ทำ เราทำให้นักพัฒนาสามารถแบ่งปันเครื่องมือหรือเนื้อหาใด ๆ กับกลุ่มคนที่คุณต้องการแบ่งปันด้วยได้ทันที โดยไม่ต้องใช้บริการคลาวด์ที่ซับซ้อนและอีกมากมาย ของแอพต่างๆ (ซึ่งแต่ละแอพมีความเสี่ยงด้านความปลอดภัยของตัวเอง) และคุณไม่จำเป็นต้องสร้างการตรวจสอบสิทธิ์และการเข้ารหัสในเครื่องมือใหม่ทั้งหมด
BN: ในอดีต นักพัฒนาและทีมรักษาความปลอดภัยมีปัญหาในการจัดตำแหน่ง เครือข่ายส่วนตัวช่วยให้สามารถสื่อสารได้ดีขึ้นเพื่อสร้างความปลอดภัยตั้งแต่เนิ่นๆ ในกระบวนการหรือไม่
AP: แน่นอน เรื่องตลกเกี่ยวกับทีมรักษาความปลอดภัยคืองานของพวกเขาคือการหยุดไม่ให้คุณทำงาน ข้อดีของ Tailscale คือช่วยให้นักพัฒนาทำสิ่งที่พวกเขาต้องการได้ง่ายขึ้น แต่ในขณะเดียวกันก็มีความปลอดภัยมากขึ้นด้วย ดังนั้นพวกเขากำลังแก้ปัญหาทั้งสอง ตอนนี้การรักษาความปลอดภัยสามารถเป็นฮีโร่ในการทำบางสิ่งที่ไม่เพียงแต่ทำให้องค์กรปลอดภัยขึ้นเท่านั้น แต่ยังทำให้งานของนักพัฒนาง่ายขึ้นด้วย
ในวงกว้าง ฉันคิดว่าเราจะเห็นการเปลี่ยนแปลงไปสู่ความรับผิดชอบที่มากขึ้นสำหรับวิธีการ องค์กรต่าง ๆ ตั้งค่าโครงสร้างพื้นฐานเพื่อลดผลกระทบของการละเมิดเมื่อเกิดขึ้นอย่างหลีกเลี่ยงไม่ได้ ทุกวันนี้มีการเปลี่ยนแปลงอยู่ตลอดเวลาหรือไม่มีเลย เรามุ่งเน้นไปที่ว่ามีการละเมิดหรือไม่ และทันทีที่มีการละเมิด บริษัทต่างๆ ก็ยกมือขึ้นและพูดว่า”อ๊ะ! ฉันเดาว่าแฮ็กเกอร์มีทุกอย่างแล้ว!”และส่งการเปิดเผยข้อมูลที่จำเป็น แต่เป้าหมายไม่ควรเป็นเพียงแค่การป้องกันการละเมิดเท่านั้น แต่ยังรวมถึงผลกระทบของผลกระทบที่เกิดขึ้นอย่างหลีกเลี่ยงไม่ได้แม้ว่าผู้คนจะพยายามอย่างดีที่สุดก็ตาม
องค์กรจะไม่ถูกตัดสินว่าพวกเขามีการละเมิดความปลอดภัยหรือไม่ แต่ขึ้นอยู่กับ พวกเขาแยกระบบและใช้มาตรการป้องกันเพื่อลดผลกระทบได้ดีเพียงใด ผู้บริโภคเริ่มเข้าใจเรื่องนี้มากขึ้น การที่แฮ็กเกอร์เข้ามาในเครือข่ายของคุณไม่ได้หมายความว่าพวกเขาควรจะสามารถเข้าถึงข้อมูลของทุกคนได้ ส่วนสุดท้ายนั้นน่าอาย และผู้คนก็เริ่มเห็นว่าเป็นเช่นนั้น
เครดิตรูปภาพ: Lightspring/Shutterstock