Security Chaos Engineering

Security Chaos Engineering hoặc SCE là một lĩnh vực dựa trên kỹ thuật Chaos Engineering. SCE thực hiện các thử nghiệm bảo mật chủ động trên hệ thống phân tán nhằm xây dựng độ tin cậy của hệ thống để chống chịu các điều kiện biến động và độc hại. Các kỹ sư security chaos lặp lại các phương pháp khoa học để đạt được điều này. Các phương pháp đó bao gồm: trạng thái ổn định, giả thuyết, xác minh liên tục, bài học kinh nghiệm và triển khai biện pháp giảm thiểu.

Vấn đề nó giải quyết

Ưu tiên chính của site reliability engineers (SREs) và kỹ sư bảo mật là khôi phục dịch vụ nhanh nhất có thể với mục tiêu đạt được zero downtime và giảm thiểu tác động đến hoạt động kinh doanh. SREs và kỹ sư bảo mật xử lý cả tình huống trước và sau khi xảy ra sự cố. Hầu hết các vấn đề bảo mật đều khó phát hiện và vá lỗi một cách nhanh chóng, điều này ảnh hưởng đến chức năng của ứng dụng hoặc hệ thống. Ngoài ra, các sự cố bảo mật thường khó phát hiện trong giai đoạn phát triển.

Lợi ích của nó

Security Chaos Engineering được xây dựng xoay quanh khả năng quan sát và các thử nghiệm về khả năng phục hồi bảo mật. Mục đích của nó là khám phá những “điều chưa biết” và xây dựng sự tin cậy của hệ thống, tăng cường khả năng phục hồi bảo mật và cải thiện khả năng quan sát hệ thống.

Các đội kỹ thuật sẽ dần cải thiện hiểu biết về các vấn đề bảo mật trong cơ sở hạ tầng phức tạp, các nền tảng và hệ thống phân tán. SCE cải thiện khả năng phục hồi bảo mật của toàn bộ sản phẩm, phát hiện các vấn đề bảo mật tiềm ẩn, làm lộ ra các điểm mù cổ điển và chuẩn bị cho các đội ngũ xử lý các trường hợp đặc biệt quan trọng. Phương pháp này giúp các kỹ sư SREs, DevOps và DevSecOps tạo sự tin cậy vào hệ thống, tăng cường khả năng phục hồi bảo mật và cải thiện khả năng quan sát hệ thống.