[[244465]]

【51CTO.com快譯】為了讓在過渡期間的系統(tǒng)免受網(wǎng)絡(luò)威脅，您需要將安全性與DevOps進(jìn)行完美集成。

隨著DevOps實(shí)踐在云基礎(chǔ)架構(gòu)環(huán)境中日益流行，使得軟件開發(fā)團(tuán)隊(duì)比以往任何時(shí)候都能更快、更高效地進(jìn)行成果發(fā)布，但是安全性是被首要考慮的問題嗎?來(lái)自451 Research的一份報(bào)告顯示答案是否定的。

根據(jù)這份“在云時(shí)代重新聚焦安全運(yùn)營(yíng)”的報(bào)告顯示，36%的企業(yè)表示，他們明年的首要目標(biāo)是更快地響應(yīng)業(yè)務(wù)需求，24%的企業(yè)表示要削減成本。相比之下，只有10.5%的受訪者表示將提高安全性作為他們的首要目標(biāo)，在列出的選項(xiàng)中排名墊底。

這個(gè)問題似乎源于這樣一種誤解，即速度和安全性是相互排斥的，DevOps將安全性視為業(yè)務(wù)加速的阻滯，而不是穩(wěn)定因素。通過SecOps(Security Operations)的最佳實(shí)踐(我們將在下面進(jìn)行討論)，盡早的將安全性融入DevOps過程中，是構(gòu)建長(zhǎng)期可持續(xù)基礎(chǔ)設(shè)施的唯一方法，這些基礎(chǔ)設(shè)施將支持您的產(chǎn)品和團(tuán)隊(duì)走向未來(lái)。

隨著組織遷移到公共云，這一點(diǎn)變得尤其明顯。因?yàn)樵诠苍浦?，敏捷開發(fā)意味著工作的發(fā)布速度將比以往更快。在您進(jìn)行基礎(chǔ)架構(gòu)過渡時(shí)，以速度的名義犧牲安全性會(huì)讓您的組織面臨數(shù)據(jù)泄露的風(fēng)險(xiǎn)以及由此造成的聲譽(yù)損害和財(cái)務(wù)損失，但是SecOps最佳實(shí)踐可以幫助您降低這方面的風(fēng)險(xiǎn)。

將SecOps與DevOps進(jìn)行集成

那么，SecOps到底是什么，當(dāng)成功地與DevOps集成時(shí)，它又能發(fā)揮什么作用?與DevOps一樣，SecOps也是一種基于敏捷原則的軟件開發(fā)理念。SecOps還管理著軟件版本化的加速，能夠提高許多編程團(tuán)隊(duì)的輸出，因此不需要擔(dān)心會(huì)與DevOps有沖突。SecOps通過自動(dòng)化關(guān)鍵的安全任務(wù)，簡(jiǎn)單地增加一層以前沒有的安全層。

為了實(shí)現(xiàn)這一點(diǎn)，SecOps培養(yǎng)了一種文化，在這種文化中，安全是組織內(nèi)每個(gè)人的責(zé)任，是主動(dòng)戰(zhàn)略的一部分，而不是在事后進(jìn)行補(bǔ)救。團(tuán)隊(duì)之間的強(qiáng)大溝通是需要優(yōu)先被考慮的，以避免出現(xiàn)信息安全孤島以及一個(gè)團(tuán)隊(duì)拖慢另一個(gè)團(tuán)隊(duì)進(jìn)度的情況。

最后，隨著組織開始將安全與DevOps相結(jié)合，解決網(wǎng)絡(luò)安全領(lǐng)域的人才短缺問題將顯得至關(guān)重要。根據(jù)451 Research的報(bào)告，培訓(xùn)現(xiàn)有員工學(xué)習(xí)新技能通常是組織中最受歡迎的方式。所以SecOps實(shí)踐是通過開發(fā)內(nèi)部資源來(lái)提升您的員工的理想方法。

SecOps的最佳實(shí)踐

很明顯，共享純文本密碼的公司不會(huì)在一夜之間就開始使用集中的訪問控制，但它們可以采取正確的步驟，放棄耗時(shí)的臨時(shí)流程，并盡可能地走向自動(dòng)化。以下是在基礎(chǔ)設(shè)施的五個(gè)領(lǐng)域中可以采取的一些最佳實(shí)踐：

1.系統(tǒng)訪問和用戶

當(dāng)涉及到系統(tǒng)訪問和用戶時(shí)，要遵循最少特權(quán)的原則。為了在這個(gè)領(lǐng)域?qū)崿F(xiàn)真正的安全成熟度，你需要將這個(gè)原則嵌入到你的工具和日常流程中去，即使你已經(jīng)將它建模到你的策略中了。系統(tǒng)地自動(dòng)化和驗(yàn)證用戶訪問策略可以讓您減少可能導(dǎo)致內(nèi)部威脅的人為風(fēng)險(xiǎn)。

2.補(bǔ)丁和漏洞管理

你認(rèn)為打補(bǔ)丁很簡(jiǎn)單嗎?仔細(xì)考慮一下吧。根據(jù)威瑞森公司2017年的數(shù)據(jù)泄露調(diào)查報(bào)告，許多公司并沒有足夠的制度來(lái)做好這件事，這給了攻擊者足夠的時(shí)間來(lái)利用幾個(gè)月甚至幾年前的漏洞。為了在網(wǎng)絡(luò)犯罪分子之前發(fā)現(xiàn)漏洞，您的組織的補(bǔ)丁策略應(yīng)該是自動(dòng)化的、標(biāo)準(zhǔn)化的和有彈性的，足以承受自動(dòng)化的軟件更新。

3.基礎(chǔ)設(shè)施控制平臺(tái)(AWS控制臺(tái)/ API)

在云中進(jìn)行操作時(shí)，API和管理控制臺(tái)的功能相當(dāng)于對(duì)數(shù)據(jù)中心的訪問。然而，在云中僅保護(hù)您自己的數(shù)據(jù)中心將使您的API暴露出來(lái)。因此，在您遷移到公共云時(shí)，有必要改進(jìn)您的安全方法，使用與數(shù)據(jù)中心相同級(jí)別的安全等級(jí)來(lái)操作管理控制臺(tái)和API。包括自動(dòng)關(guān)閉對(duì)不安全的或潛在受損系統(tǒng)的訪問。

4.網(wǎng)絡(luò)

由于當(dāng)下的環(huán)境比以往任何時(shí)候都更加復(fù)雜和更加具有聯(lián)通性，所以傳統(tǒng)的網(wǎng)絡(luò)安全控制將不再能解決這個(gè)問題。目前，許多安全和運(yùn)營(yíng)團(tuán)隊(duì)正在限制具有網(wǎng)絡(luò)拓?fù)涞南到y(tǒng)之間的訪問，但是有必要將服務(wù)器按角色進(jìn)行分組，并利用自動(dòng)化來(lái)建立小型網(wǎng)絡(luò)路徑來(lái)模擬對(duì)等體之間的信任。此外，架構(gòu)應(yīng)該運(yùn)行在廣域網(wǎng)上而不是局域網(wǎng)內(nèi)。因而，SecOps在此領(lǐng)域的成熟度意味著需要對(duì)身份驗(yàn)證和授權(quán)機(jī)制進(jìn)行建模，而不是簡(jiǎn)單地依賴底層網(wǎng)絡(luò)拓?fù)鋪?lái)定義安全性。

5. 運(yùn)行時(shí)和服務(wù)

考慮到運(yùn)營(yíng)和安全團(tuán)隊(duì)都受益于運(yùn)行時(shí)和軟件管理的標(biāo)準(zhǔn)化、持續(xù)集成和精簡(jiǎn)的軟件開發(fā)生命周期，實(shí)現(xiàn)目標(biāo)的一致性在這里應(yīng)該相對(duì)變得更容易了。一旦每個(gè)人都在同一個(gè)頁(yè)面上，基礎(chǔ)架構(gòu)和運(yùn)行時(shí)環(huán)境就可以作為一個(gè)共享的實(shí)用程序發(fā)揮作用，從而允許工程師在這些公共結(jié)構(gòu)中進(jìn)行創(chuàng)新。在不同的團(tuán)隊(duì)中應(yīng)用相同的原則可以提高效率，并有助于將失敗的風(fēng)險(xiǎn)降到最低。

結(jié)論

隨著網(wǎng)絡(luò)威脅的不斷增長(zhǎng)，以及云中的基礎(chǔ)設(shè)施變得越來(lái)越復(fù)雜，讓DevOps從一開始就擁抱安全比以往任何時(shí)候都要更加重要。而SecOps的目標(biāo)就是通過自動(dòng)化盡可能多的安全任務(wù)，促進(jìn)團(tuán)隊(duì)之間的溝通，以及支持在擁有安全的同時(shí)保持敏捷的開發(fā)，并最終減輕將安全集成到開發(fā)和運(yùn)營(yíng)中的痛苦。

原文標(biāo)題：Why DevOps Needs Security During an Infrastructure Transition，作者：Pan Chhum 

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】