隨著云計算開發(fā)和部署變得越來越快且越來越靈活，安全團(tuán)隊意識到，保護(hù)云應(yīng)用和系統(tǒng)部署的唯一有效方法是開發(fā)可整合到部署管道的安全控制，以及盡可能自動化。安全社區(qū)很多人將這種方法稱為安全即代碼，這是采用基礎(chǔ)設(shè)施即代碼的概念，即將所有虛擬和基于云的堆棧組件定義為可配置元素，這些元素只是被視為一種軟件定義，并在在配置文件和模板中進(jìn)行管理。

然而，很多安全團(tuán)隊在采用這種方法時并不順利。大多數(shù)安全專業(yè)人士并沒有軟件開發(fā)背景，并且，他們通常與DevOps團(tuán)隊脫節(jié)，DevOps團(tuán)隊使用高度自動化和靈活的工具及流程來集成、測試和部署代碼到云端。

重要的是要記住，大多數(shù)DevOps工程師和開發(fā)人員希望他們的部署盡可能安全，但他們需要安全性整合其環(huán)境，而不是部署障礙以及使用緩慢而笨重的工具和流程削弱可擴展性和速度。

為此，安全團(tuán)隊?wèi)?yīng)該開始學(xué)習(xí)DevOps環(huán)境中使用的DevOps工具，這通常包括Jenkins、Chef、Puppet、Salt、Ansible、GitHub等。安全團(tuán)隊不需要精通所有這些DevOps工具，但需要注意以下幾點：

• 用于存儲和管理代碼的DevOps工具。例如，如果Jenkins用于整合GitHub。安全團(tuán)隊將需要知道如何管理權(quán)限、當(dāng)代碼簽入和推出時Jenkins中可使用哪些日志。此外，源代碼掃描和審查應(yīng)在這個級別進(jìn)行集成，以確保代碼中不包含密碼或加密密鑰。

• 用于創(chuàng)建和管理服務(wù)器配置及部署編排的工具。Chef、Puppet和Ansible是很多環(huán)境中的常見選擇，它們都有自己的定義語音和不同的配置文件。安全團(tuán)隊需要整合配置設(shè)置和安全策略到這些平臺內(nèi)的定義文件。幸運的是，所有這些主要配置和自動化工具都有可用的配置模板和策略評估模板，并符合互聯(lián)網(wǎng)安全中心基準(zhǔn)、美國國防信息系統(tǒng)局技術(shù)部署指南和其他行業(yè)最佳做法和要求。

• 用于存儲和訪問登錄憑證和密鑰的DevOps工具。全面的DevOps做法會規(guī)定使用單獨的平臺用于控制登錄憑證和密鑰，例如HashiCorp Vault或Ansible Tower。監(jiān)控和控制對這些平臺的控制至關(guān)重要，安全團(tuán)隊?wèi)?yīng)該能夠獨立審查訪問并發(fā)送日志到遠(yuǎn)程日志記錄庫。

在構(gòu)建系統(tǒng)進(jìn)行部署時，安全團(tuán)隊需要定義配置設(shè)置和策略，并將其集成到正在使用的工具中。通常情況下，這些定義將使用JavaScript Object Notation或者YAML格式進(jìn)行編碼，這兩者都易于學(xué)習(xí)。

當(dāng)服務(wù)器和應(yīng)用堆棧元素版本得到批準(zhǔn)后，安全團(tuán)隊?wèi)?yīng)該部署無法變更的基礎(chǔ)設(shè)施，在下一個批準(zhǔn)的修訂版本確定之前，任何更改嘗試都將被忽略。上述很多DevOps工具支持這種設(shè)置。例如，如果Ansible手冊用于生成服務(wù)器配置，再次運行該手冊將不會導(dǎo)致任何其他更改或問題。

為了成功整合到開發(fā)和部署過程，安全團(tuán)隊需要確保團(tuán)隊成員大部分時間都在與DevOps團(tuán)隊協(xié)同工具。這種方法(又是被稱為DevSecOps)可確保在代碼推送到生產(chǎn)或者任何系統(tǒng)在云環(huán)境構(gòu)建之前，所有變更和更新都將得到妥善保護(hù)。

然而，這個部署管道整合只是整個流程的一半。安全團(tuán)隊還需要為云端運行的系統(tǒng)和應(yīng)用提供自動反饋，這將在之后的文章中進(jìn)行討論。