為什么需要強調DevOps在基礎架構過渡期間的安全性
譯文【51CTO.com快譯】為了讓在過渡期間的系統免受網絡威脅,您需要將安全性與DevOps進行完美集成。
隨著DevOps實踐在云基礎架構環境中日益流行,使得軟件開發團隊比以往任何時候都能更快、更高效地進行成果發布,但是安全性是被首要考慮的問題嗎?來自451 Research的一份報告顯示答案是否定的。
根據這份“在云時代重新聚焦安全運營”的報告顯示,36%的企業表示,他們明年的首要目標是更快地響應業務需求,24%的企業表示要削減成本。相比之下,只有10.5%的受訪者表示將提高安全性作為他們的首要目標,在列出的選項中排名墊底。
這個問題似乎源于這樣一種誤解,即速度和安全性是相互排斥的,DevOps將安全性視為業務加速的阻滯,而不是穩定因素。通過SecOps(Security Operations)的最佳實踐(我們將在下面進行討論),盡早的將安全性融入DevOps過程中,是構建長期可持續基礎設施的唯一方法,這些基礎設施將支持您的產品和團隊走向未來。
隨著組織遷移到公共云,這一點變得尤其明顯。因為在公共云中,敏捷開發意味著工作的發布速度將比以往更快。在您進行基礎架構過渡時,以速度的名義犧牲安全性會讓您的組織面臨數據泄露的風險以及由此造成的聲譽損害和財務損失,但是SecOps最佳實踐可以幫助您降低這方面的風險。
將SecOps與DevOps進行集成
那么,SecOps到底是什么,當成功地與DevOps集成時,它又能發揮什么作用?與DevOps一樣,SecOps也是一種基于敏捷原則的軟件開發理念。SecOps還管理著軟件版本化的加速,能夠提高許多編程團隊的輸出,因此不需要擔心會與DevOps有沖突。SecOps通過自動化關鍵的安全任務,簡單地增加一層以前沒有的安全層。
為了實現這一點,SecOps培養了一種文化,在這種文化中,安全是組織內每個人的責任,是主動戰略的一部分,而不是在事后進行補救。團隊之間的強大溝通是需要優先被考慮的,以避免出現信息安全孤島以及一個團隊拖慢另一個團隊進度的情況。
最后,隨著組織開始將安全與DevOps相結合,解決網絡安全領域的人才短缺問題將顯得至關重要。根據451 Research的報告,培訓現有員工學習新技能通常是組織中最受歡迎的方式。所以SecOps實踐是通過開發內部資源來提升您的員工的理想方法。
SecOps的最佳實踐
很明顯,共享純文本密碼的公司不會在一夜之間就開始使用集中的訪問控制,但它們可以采取正確的步驟,放棄耗時的臨時流程,并盡可能地走向自動化。以下是在基礎設施的五個領域中可以采取的一些最佳實踐:
1.系統訪問和用戶
當涉及到系統訪問和用戶時,要遵循最少特權的原則。為了在這個領域實現真正的安全成熟度,你需要將這個原則嵌入到你的工具和日常流程中去,即使你已經將它建模到你的策略中了。系統地自動化和驗證用戶訪問策略可以讓您減少可能導致內部威脅的人為風險。
2.補丁和漏洞管理
你認為打補丁很簡單嗎?仔細考慮一下吧。根據威瑞森公司2017年的數據泄露調查報告,許多公司并沒有足夠的制度來做好這件事,這給了攻擊者足夠的時間來利用幾個月甚至幾年前的漏洞。為了在網絡犯罪分子之前發現漏洞,您的組織的補丁策略應該是自動化的、標準化的和有彈性的,足以承受自動化的軟件更新。
3.基礎設施控制平臺(AWS控制臺/ API)
在云中進行操作時,API和管理控制臺的功能相當于對數據中心的訪問。然而,在云中僅保護您自己的數據中心將使您的API暴露出來。因此,在您遷移到公共云時,有必要改進您的安全方法,使用與數據中心相同級別的安全等級來操作管理控制臺和API。包括自動關閉對不安全的或潛在受損系統的訪問。
4.網絡
由于當下的環境比以往任何時候都更加復雜和更加具有聯通性,所以傳統的網絡安全控制將不再能解決這個問題。目前,許多安全和運營團隊正在限制具有網絡拓撲的系統之間的訪問,但是有必要將服務器按角色進行分組,并利用自動化來建立小型網絡路徑來模擬對等體之間的信任。此外,架構應該運行在廣域網上而不是局域網內。因而,SecOps在此領域的成熟度意味著需要對身份驗證和授權機制進行建模,而不是簡單地依賴底層網絡拓撲來定義安全性。
5. 運行時和服務
考慮到運營和安全團隊都受益于運行時和軟件管理的標準化、持續集成和精簡的軟件開發生命周期,實現目標的一致性在這里應該相對變得更容易了。一旦每個人都在同一個頁面上,基礎架構和運行時環境就可以作為一個共享的實用程序發揮作用,從而允許工程師在這些公共結構中進行創新。在不同的團隊中應用相同的原則可以提高效率,并有助于將失敗的風險降到最低。
結論
隨著網絡威脅的不斷增長,以及云中的基礎設施變得越來越復雜,讓DevOps從一開始就擁抱安全比以往任何時候都要更加重要。而SecOps的目標就是通過自動化盡可能多的安全任務,促進團隊之間的溝通,以及支持在擁有安全的同時保持敏捷的開發,并最終減輕將安全集成到開發和運營中的痛苦。
原文標題:Why DevOps Needs Security During an Infrastructure Transition,作者:Pan Chhum
【51CTO譯稿,合作站點轉載請注明原文譯者和出處為51CTO.com】
