為什麼需要強調DevOps在基礎架構過渡期間的安全性
【51CTO.com快譯】為了讓在過渡期間的系統免受網路威脅,您需要將安全性與DevOps進行完美整合。
隨著DevOps實踐在雲基礎架構環境中日益流行,使得軟體開發團隊比以往任何時候都能更快、更高效地進行成果釋出,但是安全性是被首要考慮的問題嗎?來自451 Research的一份報告顯示答案是否定的。
根據這份“在雲時代重新聚焦安全運營”的報告顯示,36%的企業表示,他們明年的首要目標是更快地響應業務需求,24%的企業表示要削減成本。相比之下,只有10.5%的受訪者表示將提高安全性作為他們的首要目標,在列出的選項中排名墊底。
這個問題似乎源於這樣一種誤解,即速度和安全性是相互排斥的,DevOps將安全性視為業務加速的阻滯,而不是穩定因素。通過SecOps(Security Operations)的最佳實踐(我們將在下面進行討論),儘早的將安全性融入DevOps過程中,是構建長期可持續基礎設施的唯一方法,這些基礎設施將支援您的產品和團隊走向未來。
隨著組織遷移到公共雲,這一點變得尤其明顯。因為在公共雲中,敏捷開發意味著工作的釋出速度將比以往更快。在您進行基礎架構過渡時,以速度的名義犧牲安全性會讓您的組織面臨資料洩露的風險以及由此造成的聲譽損害和財務損失,但是SecOps最佳實踐可以幫助您降低這方面的風險。
將SecOps與DevOps進行整合
那麼,SecOps到底是什麼,當成功地與DevOps整合時,它又能發揮什麼作用?與DevOps一樣,SecOps也是一種基於敏捷原則的軟體開發理念。SecOps還管理著軟體版本化的加速,能夠提高許多程式設計團隊的輸出,因此不需要擔心會與DevOps有衝突。SecOps通過自動化關鍵的安全任務,簡單地增加一層以前沒有的安全層。
為了實現這一點,SecOps培養了一種文化,在這種文化中,安全是組織內每個人的責任,是主動戰略的一部分,而不是在事後進行補救。團隊之間的強大溝通是需要優先被考慮的,以避免出現資訊保安孤島以及一個團隊拖慢另一個團隊進度的情況。
最後,隨著組織開始將安全與DevOps相結合,解決網路安全領域的人才短缺問題將顯得至關重要。根據451 Research的報告,培訓現有員工學習新技能通常是組織中最受歡迎的方式。所以SecOps實踐是通過開發內部資源來提升您的員工的理想方法。
SecOps的最佳實踐
很明顯,共享純文字密碼的公司不會在一夜之間就開始使用集中的訪問控制,但它們可以採取正確的步驟,放棄耗時的臨時流程,並儘可能地走向自動化。以下是在基礎設施的五個領域中可以採取的一些最佳實踐:
1.系統訪問和使用者
當涉及到系統訪問和使用者時,要遵循最少特權的原則。為了在這個領域實現真正的安全成熟度,你需要將這個原則嵌入到你的工具和日常流程中去,即使你已經將它建模到你的策略中了。系統地自動化和驗證使用者訪問策略可以讓您減少可能導致內部威脅的人為風險。
2.補丁和漏洞管理
你認為打補丁很簡單嗎?仔細考慮一下吧。根據威瑞森公司2017年的資料洩露調查報告,許多公司並沒有足夠的制度來做好這件事,這給了攻擊者足夠的時間來利用幾個月甚至幾年前的漏洞。為了在網路犯罪分子之前發現漏洞,您的組織的補丁策略應該是自動化的、標準化的和有彈性的,足以承受自動化的軟體更新。
在雲中進行操作時,API和管理控制檯的功能相當於對資料中心的訪問。然而,在雲中僅保護您自己的資料中心將使您的API暴露出來。因此,在您遷移到公共雲時,有必要改進您的安全方法,使用與資料中心相同級別的安全等級來操作管理控制檯和API。包括自動關閉對不安全的或潛在受損系統的訪問。
4.網路
由於當下的環境比以往任何時候都更加複雜和更加具有聯通性,所以傳統的網路安全控制將不再能解決這個問題。目前,許多安全和運營團隊正在限制具有網路拓撲的系統之間的訪問,但是有必要將伺服器按角色進行分組,並利用自動化來建立小型網路路徑來模擬對等體之間的信任。此外,架構應該執行在廣域網上而不是區域網內。因而,SecOps在此領域的成熟度意味著需要對身份驗證和授權機制進行建模,而不是簡單地依賴底層網路拓撲來定義安全性。
5. 執行時和服務
考慮到運營和安全團隊都受益於執行時和軟體管理的標準化、持續整合和精簡的軟體開發生命週期,實現目標的一致性在這裡應該相對變得更容易了。一旦每個人都在同一個頁面上,基礎架構和執行時環境就可以作為一個共享的實用程式發揮作用,從而允許工程師在這些公共結構中進行創新。在不同的團隊中應用相同的原則可以提高效率,並有助於將失敗的風險降到最低。
結論
隨著網路威脅的不斷增長,以及雲中的基礎設施變得越來越複雜,讓DevOps從一開始就擁抱安全比以往任何時候都要更加重要。而SecOps的目標就是通過自動化儘可能多的安全任務,促進團隊之間的溝通,以及支援在擁有安全的同時保持敏捷的開發,並最終減輕將安全整合到開發和運營中的痛苦。
原文標題:Why DevOps Needs Security During an Infrastructure Transition,作者:Pan Chhum
【51CTO譯稿,合作站點轉載請註明原文譯者和出處為51CTO.com】
【責任編輯:龐桂玉 TEL:(010)68476606】