企業(yè)的數(shù)字化程度越高，使用的云服務(wù)就越多，操作環(huán)境也就越復(fù)雜。隨著數(shù)字網(wǎng)絡(luò)和云服務(wù)的不斷增加，企業(yè)內(nèi)部的責(zé)任分工變得越來越模糊。在大型組織中，云預(yù)算和開發(fā)資源都由各個業(yè)務(wù)部門自行管理，從而加劇了這一復(fù)雜性。盡管這對自主管理數(shù)字合作關(guān)系的部門來說可能并無大礙，但卻構(gòu)成了嚴(yán)峻的安全挑戰(zhàn)。各方關(guān)系錯綜復(fù)雜，安全工作究竟是誰人之責(zé)?IT 部門、業(yè)務(wù)部門還是云提供商?沒有端到端的可視性，IT 管理者便很難實施集中式安全戰(zhàn)略和一致性的安全策略，最終重要數(shù)據(jù)將置于越來越大的風(fēng)險之中。

責(zé)任共擔(dān)模式催生灰色區(qū)域

責(zé)任共擔(dān)模式下的灰色區(qū)域會帶來安全漏洞，尤其是當(dāng)工具來自云市場時，情況會更為復(fù)雜。

云服務(wù)提供商通過云市場提供一系列解決方案、插件和安全解決方案。這些工具通過云服務(wù)提供商購買，看似應(yīng)由云服務(wù)提供商承擔(dān)安全責(zé)任，但實際上一旦客戶配置了這些工具，就代表客戶同意對其安全性負(fù)責(zé)。但是，有時候客戶攬下了責(zé)任，卻不知道意味著什么。

對此比較好的辦法就是通過根本原因分析 (RCA) 來確定責(zé)任歸屬(廠商、提供商或客戶)。RCA 可以識別任何潛在威脅，確定事件的根本原因，然后制定行動方案。這通常包括通知關(guān)鍵利益相關(guān)者、啟動威脅分析、建立流程來協(xié)調(diào)各方之間的響應(yīng)和資源，以及將相關(guān)信息數(shù)字化/映射到相關(guān)云技術(shù)。

確定安全責(zé)任

如果第一步是明確責(zé)任的大方向(廠商、提供商和客戶)，那么下一步就是將責(zé)任細(xì)化到組織內(nèi)部部門。

如果組織確實承擔(dān)責(zé)任，那么管理人員必須將責(zé)任粒度細(xì)化到他們可能都不適應(yīng)的級別。其中一個問題是，許多組織使用了專門的云開發(fā)策略。當(dāng)今的組織通常擁有多個動態(tài)云環(huán)境，每個云環(huán)境可能都由不同的內(nèi)部部門管理，他們擔(dān)心中央 IT 團(tuán)隊的干預(yù)可能會妨礙他們的工作，比如影響速度、靈活性和控制力，而這些也是當(dāng)初他們選擇云服務(wù)的原因。例如 DevOps，速度和效率對交付關(guān)鍵業(yè)務(wù)應(yīng)用至關(guān)重要。任何影響速度的安全措施都會被視為威脅。

傳統(tǒng)的 IT 團(tuán)隊和 DevOps 團(tuán)隊通常對此意見不一。IT 團(tuán)隊建議使用安全工具，而 DevOps 團(tuán)隊認(rèn)為安全工具是其工作中的攔路虎，與他們的主要目標(biāo)背道而馳。雖然DevOps 團(tuán)隊擅長應(yīng)用開發(fā)，但他們卻通常缺乏安全開發(fā)知識。

DevSecOps 讓安全性能兩不誤

要想兩全其美，組織可以為每個 DevOps 小組配備一名網(wǎng)絡(luò)安全專家，組成一個“DevSecOps”團(tuán)隊。這名 DevOps 安全專家(或?qū)＜覉F(tuán)隊)可以指導(dǎo)應(yīng)用開發(fā)人員履行責(zé)任共擔(dān)模式，幫助他們同時滿足開發(fā)和安全要求。他們還可以跨所有云實例提供一致的安全策略，同時確保 DevOps 團(tuán)隊的開發(fā)效率。

有了 DevSecOps，這些團(tuán)隊就可以高效地選擇、部署和管理工具，從而更順利地實現(xiàn)速度和安全性目標(biāo)。以 SaaS 安全解決方案為例，基于云的 Web 應(yīng)用防火墻可以進(jìn)行自我擴(kuò)展。而 DevSecOps 可以確保 Web 應(yīng)用按需增加，同時不會影響安全性。合適的工具部署起來也不會費力，有些工具甚至內(nèi)置了安全功能，覆蓋部署、維護(hù)和擴(kuò)展乃至持續(xù)使用和開發(fā)過程中的所有優(yōu)化。

自動化也發(fā)揮著至關(guān)重要的作用。設(shè)置完成后，自動化流程便可檢查配置并掃描惡意軟件(由于手動執(zhí)行這兩個流程需要時間和資源，這兩個流程經(jīng)常被擱置)。DevSecOps 團(tuán)隊可以幫助選擇和設(shè)計合適的自動化云安全解決方案，以確保獲得所有合適的安全特性：

◆自動掃描公有云中的漏洞

◆自動評估工具配置

◆動態(tài)保護(hù)存儲的數(shù)據(jù)

◆查明錯誤配置

◆掃描云中的文件

◆通過防止未經(jīng)授權(quán)的下載來保護(hù)敏感信息

領(lǐng)導(dǎo)者支持是關(guān)鍵

隨著數(shù)字化成為當(dāng)今市場上的主要競爭優(yōu)勢，領(lǐng)導(dǎo)者越發(fā)明確 Web 應(yīng)用(及其管理方式)就是確保業(yè)務(wù)戰(zhàn)略成功的關(guān)鍵。因此，DevOps 目標(biāo)現(xiàn)已上升到公司管理層，成為董事會上常見的議題。

但是，由于高管們一心想要加快數(shù)字化轉(zhuǎn)型，他們并沒有意識到冒進(jìn)的云化和專有應(yīng)用的開發(fā)導(dǎo)致了安全問題復(fù)雜化，因此安全風(fēng)險急劇攀升。

從 DevOps 到 DevSecOps 的演進(jìn)意味著，安全性從開發(fā)新云實例的第一天起就被放在了首位。DevSecOps 團(tuán)隊可以開發(fā)必要的 RCA 云安全手冊，確保這些準(zhǔn)則的落地執(zhí)行。他們還可以幫助企業(yè)選擇安全解決方案，保護(hù)其不斷增長的數(shù)字資源，同時防止意外風(fēng)險進(jìn)入環(huán)境。此外，由于 DevSecOps 能夠防止企業(yè)違規(guī)和受到經(jīng)濟(jì)處罰，他們甚至可以直接影響企業(yè)的利潤。

DevSecOps 的上述任何一項優(yōu)勢都值得獲得高管們的重視和全力支持。