从DevOps到DevSecOps：拥有云安全

GYhrfTba

点击上方“蓝色字体”，选择 “设为星标”
关键讯息，D1时间送达！
& ^% E: b! i$ a


5 o2 H9 \0 I7 q# \# |7 x云计算是一个复杂的环境，组织的不同团队管理不同的云计算服务和环境。最基本的区别是提供核心基础设施的云计算提供商或利用云计算提供商租用的资源构建应用程序。在大型组织中，不同的云计算资源、数据和应用程序可能由各种业务团队拥有，每个业务团队都有自己的预算和开发资源。

从安全的角度来看，这种云计算的所有权划分可能会在端到端可视性、控制和遵从性方面带来严峻的挑战。当然，云计算是一个共享的基础设施，当涉及到安全事件时，组织可能总会有一些共同的责任。但缺乏集中的安全战略和不一致的安全政策和标准，将导致潜在的灰色责任区域，可能造成严重的安全差距，并使关键数据和其他数字资源面临风险。


; g/ q# X. `0 t1 t( q8 f( X云计算提供商与客户责任

在调查机构IHS Markit公司最近的一项调查中，当受访者被问及“组织云部署中存在漏洞或安全事件时谁需要真正负责?”问题是，他们给出的答案反映出对基本责任分工缺乏了解。即使在最佳情况下，也应该清楚谁负责安全事件(例如云平台中的漏洞)，只有大约一半的受访者能够确定根本原因和责任。
& k9 R( V  _( H
0 F1 \- t; F  H3 P1 r0 Q4 N
更为复杂的是，还有另一套工具可以明确责任。通过云计算提供商的市场作为附加组件提供的安全供应商列表很详尽。云计算提供商本身也提供一系列安全解决方案(作为服务嵌入到他们的平台中)。而且许多云计算管理平台、虚拟机管理程序、编排工具和其他云计算基础设施都具有不同级别的安全性。
$ Z/ z" V3 h8 g2 K3 E# C, `4 c

  K) c4 W9 b9 E' H7 O/ A2 N, o然而，组织需要坚持共同责任模式，每当客户对这些工具应用任何配置时，就成了他们的责任。尽管如此，对于不同的事件，责任分工并不总是很明确。
9 l. g3 }  r. _5 f* I

最佳的行动方案是确定并应用云中消耗的资源和服务的最佳实践。根本原因分析(RCA)手册应尽可能识别可能的威胁，并策划确定事件根本原因的策略。这包括识别所有关键利益相关者，确定哪些调查工具可用于威胁分析，建立在各方之间编排响应和资源的流程，并将这些细节实现数字化，并将其映射到实际的云计算技术。此外，任何响应都应尽可能实现自动化。


- v( a2 d' a7 }2 n客户域内的安全责任
6 i/ a2 B9 x  ]" \1 I% i- M
一旦在提供商、供应商和客户之间确定了处理安全事件的主要职责分工(例如确定安全漏洞是由损坏的服务还是配置错误的系统造成的)，大多数云计算客户仍然必须解决他们自己负责的问题。
8 Q! r1 i* ~6 m. A7 k! `' }) ]9 _
, f: u5 p9 p' }  ^7 s* x  X# M0 A$ }
但面临的挑战是，当涉及到云安全时，很多组织无法很好地处理谁负责什么。部分挑战是许多组织采取了临时的云开发方法。因此，如今的组织平均有五个不同的云环境和两个或更多的开发环境，每个云实例可能受到不同业务所拥有的挑战的困扰。
' _8 M  D" `: t% m" ~: B, r

由于许多原因，这些组织可能不愿意将其单个云环境的安全性转交给中央安全团队。例如，速度是DevOps工作的关键组成部分，因此任何干扰其交付应用程序主要目标的安全实施都将成为一个问题。


部分原因是传统的IT安全团队很少了解云计算环境，他们采用安全工具通常会阻碍开发。但是，移交给构建云应用程序和环境的DevOps团队是有问题的，因为他们在安全方面几乎没有专业知识。


% l! s; P/ _; {0 i" e9 i例如，许多基于云计算的安全工具面临的最大挑战之一是正确配置和管理它们所需的时间和技能，更不用说调整这些配置以消除误报，或确保它们不会错过关键事件或丢弃合法流量。所有这些都需要大多数DevOps团队所不具备的专业知识。

/ q; p3 b1 u+ R5 `3 h8 m
从DevOps转移到DevSecOps

, b6 I, w) |! x0 u. g2 n) d& k解决这一挑战可以像为各个DevOps团队中的每个团队增加网络安全专家一样简单。一旦集成，DevSecOps可以帮助导航共享责任模型，以确保满足开发和安全要求。他们可以在客户/供应商/提供商责任模型之间进行协商，提供确保跨云实例和跨云实例的一致安全性策略，并平衡保护与性能。

( N6 c6 n  M! }. V
& ~, X& e0 }. b, F4 e  t: T其中一部分是通过选择、部署和管理旨在应对速度和安全性双重挑战的工具来实现的。例如，许多基于SaaS的安全解决方案(例如Web应用程序防火墙)都是可自我扩展的，允许Web应用程序根据需要增长，而不会影响安全保护。选择正确的工具还可以确保可以轻松地将其拼接到应用程序事务中。其中一些甚至具有已经包括部署、维护、扩展、微调功能的优势。

0 y5 I+ Y/ _7 n: v- E" _0 c4 ^
) V' B& ?9 J4 [* d自动化的正确应用在这一过程中起着同样重要的作用。检查配置和扫描恶意软件对象是非常耗时的活动，当出现其他问题时，这些活动可能会被搁置。由DevSecOps团队选择和设计的自动化云安全解决方案可以提供全面的配置评估，动态保护存储的数据，自动扫描公共云漏洞，识别使数据面临风险的错误配置，扫描存储在云中的文件以及防止未经授权下载敏感信息。


7 ]2 C0 j# w; L+ Q% {9 [构建DevSecOps团队需要执行支持
( }2 O" G4 l9 w+ ~
DevOps已成为高层管理人员和董事会级别讨论的主题，证明了Web应用程序和数字化转型的不断增长的关键价值，这是更广泛的业务战略的一部分。但是，如果遭遇网络攻击的频率增长和首席信息安全官的担忧日益增长，那么积极推动云计算解决方案的高管往往会错误地理解云采用和粗心采用DevOps程序可能给其组织带来安全风险的性质。

# Z" x$ ?! K" l7 e
3 _; \. q/ m4 k因此，至关重要的是组织领导层应对与扩大组织数字足迹相关的风险进行培训，从而对其新的潜在攻击面进行教育。将DevOps扩展到DevSecOps可以在第一天将安全性集成到新的云计算环境中。它还可以确保开发和遵循根本原因分析(RCA)云安全手册，并帮助引入和管理旨在保护关键数字资源而不会带来不合理风险的安全解决方案。最后，如果云计算部署成为严重系统漏洞的渠道，它可以提供急需的缓冲区，以防止违反监管要求的处罚。
7 R# ]2 Q! `  w

（来源：企业网D1Net）

, v2 d, x" S! v/ _5 H; @
/ w/ y& D6 Q# x3 w- f如果您在企业IT、网络、通信行业的某一领域工作，并希望分享观点，欢迎给企业网D1Net投稿 投稿邮箱：editor@d1net.com
6 F: N$ B2 d. |8 q: w, ?2 c, b

点击蓝色字体关注

您还可以搜索公众号“D1net”选择关注D1net旗下的各领域（云计算，数据中心，大数据，CIO， 企业通信 ，企业应用软件，网络数通，信息安全，服务器，存储，AI人工智能，物联网智慧城市等）的子公众号。
: H3 x2 F( d9 l, J7 t
1 Q( {1 E: A& ]& `

企业网D1net已推出企业应用商店（www.enappstore.com），面向企业级软件，SaaS等提供商，提供陈列，点评功能，不参与交易和交付。现可免费入驻，入驻后，可获得在企业网D1net 相应公众号推荐的机会。欢迎入驻。

扫描下方“

二维码

”即可注册，注册后读者可以点评，厂商可

以

免费入

驻

。

来源：http://mp.weixin.qq.com/s?src=11&timestamp=1568190604&ver=1845&signature=wMRcvdxx0BgX8j*79qcxeQ*C1GdA0HV7ozA9*-KmI*lBSohItOa4DGDAvBnNsK6FpLU9deWkR48yYCf9S1DJ05U1-G--lGm4zjmbXKmnUPSKrHbNrNtt*ImaYe-0JSiz&new=1
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！