2020年DevSecOps安全团队的六大目标

随着企业改变其技术基础设施和软件交付模式,以保持市场领先优势, IT 交付领域正在经历巨大的变化。这推动了 DevOps 实践、云原生技术、容器、微服务的迅速采用,以及对 API 和第三方代码的广泛依赖。

2020 年,“敏捷安全” 将解决数字化转型中困扰企业多年的安全问题。

2020年DevSecOps安全团队的六大目标

随着企业改变其技术基础设施和软件交付模式,以保持市场领先优势, IT 交付领域正在经历巨大的变化。这推动了 DevOps 实践、云原生技术、容器、微服务的迅速采用,以及对 API 和第三方代码的广泛依赖。

这些变化反过来又模糊了基础设施、代码和 IT 角色的界限,所有这些变化都在彻底颠覆当今的企业信息安全防御体系。

但对于那些愿意保持灵活性的安全团队来说,这也为最终解决困扰组织多年的安全问题提供了历史性机会。

RSA 总裁 Rohit Ghai表示:对云本地应用程序的需求以及广泛采用DevOps来推动数字转型,无疑将在 2020 年 “加速脆弱性风险”。但同时,他认为:能适应 DevSecOps 模式,将安全性纳入到软件管道中,同时提高自动化程度的安全团队,将在软件安全和安全操作方面带来巨大的进步。

这将使渗透测试和代码分析能够在开发生命周期的早期介入,并将网络弹性设计到基础设施的结构中,从而减少攻击面。

为了实现这一目标,安全和 DevOps 专家认为 2020 年企业需要牢记以下这六大目标:

最大限度的自动化

随着组织着眼于将应用程序安全性 “左” 移到软件交付管道中——构建安全性需求并检查到 “完成” 的定义中——许多组织已经开始实现 DevSecOps 成熟度的第一阶段。但是,容器、无服务器技术的采用,以及开发和运营自动化程度的提高,又制造了新的安全热点,必须加以解决。

Lacework的研究主管James Condon认为,解决之道与软件开发加速类似:自动化。

面对不断涌现的新兴安全领域,安全团队如何跟上步伐?

他认为,DevSecOps 组织不仅必须需要关注测试自动化,而且还必须关注自动化安全策略的执行、补救和响应。而那些希望将自动化提升到下一个层次的安全团队可以从他们的开发人员同事那里学习。

自动化让开发工作效率倍增,对安全也是如此。今年,我们将越来越多地看到人们利用自动化解决困难而复杂的安全问题,从部署前的早期实施扩展到基础设施的持续安全,再到运行时的自动事件响应。

API安全是关键“抓手”

根据 Akamai 的数据,目前约 83% 的 Web 流量是 API 流量。你可以把这归结为 DevOps 的拥护者狂热地采用微服务架构,他们明白当你用可互换的、可重复的组件创建软件时,构建、修复和迭代应用程序要容易得多,同时又不会导致不可挽回地破坏。架构转变的很大一部分依赖于通过 API 将所有东西粘合在一起。

这使得软件交付更迅速、更具弹性,但也带来了新的安全问题。

42Crunch 云平台副总裁德米特里·索特尼科夫 (Dmitry Sotnikov) 说:

过去在单一应用程序世界中,应用程序组件之间的内部调用通常是通过公共网络进行的 API 调用,容易受到攻击,新的微服务的快速部署大大扩展了软件攻击面。这也是一个巨大的挑战,因为一家公司内数百(甚至数千)个 API 的快速敏捷迭代,使得安全团队无法在所有这些 API 中手动控制和实施安全策略和最佳实践。

这将使安全团队回到自动化目标上来,以便更好地处理 API 安全——包括发现、测试和修复代码和配置中的漏洞。

以“代码化政策”获取巨大安全收益

在 DevOps 世界中,最大的成果通常是通过 “一切都是代码” 的方法实现的,这种方法使得向上和向下构建可靠的、可重复的基础架构组件变得更加容易。Styra 的首席技术官兼联合创始人蒂姆?辛里奇斯 (Tim Hinrichs) 表示,在未来,出于安全和合规目的,这可能是一个巨大的利好,但现在,DevOps 与安全团队之间存在着巨大的差距。

当审计的时候,情况尤其如此;审计人员通常必须在容器化的环境中手动完成安全实践。

Hinrichs 认为,团队应该寻求采用基于策略的控制,这些控制以代码格式的方式表现出来,以帮助 “消除手动代码审查,减轻合规性工作,并消除流程瓶颈”。

Akamai 的高级产品经理 Sid Phadkar 也表示:许多组织将直接在代码中构建安全策略,以帮助处理 GDPR 等法规对其提出的重大合规要求。

DevOps 工具的数量将会增加,这些工具能够在信息安全团队中自动化更多与法规遵从性相关的任务,从而将安全和合规措施纳入日常的 CI 工作流中。

Neuverector 产品副总裁 Glen Kosaka 说,这不仅对合规有利,而且总体上也可以简化安全自动化和容器编排,并解释说,DevSecOps 团队应该通过 YAML 文件为所有工作负载部署和设置安全策略。

安全 ‘政策即代码’——总的来说,更容易实现安全自动化——将改变 DevSecOps 团队在 2020 年处理容器安全的方式。

Kosaka 还预言,这种更高效和自动化的安全集成过程的演变将是明年 DevOps 特别受欢迎的热点。

将DevOps模式推向安全标准

随着 DevOps 团队的开发和运营集成更加紧密,随着开发人员全面重构基础设施,随着自动化将更多的权力交给软件交付团队,孤岛被打碎,交付速度和 IT 部门内的敏捷性得到极大提升。但与此同时,他们也打破了审计师们要求的许多重要职责的藩篱。

Duo security(现属于Cisco)助理 CISO、RSA 会议咨询委员会成员 Wendy Nather 说:

领先科技公司的可靠、可重复的安全流程和模式会在工作组中分享经验,而这些实践将合并成更为严格的标准。

那些希望在 DevSecOps 团队中建立标准和框架的安全领导人应该密切关注这种标准化的社区工作——积极为社区作出贡献,跟踪最新发展情况,以便进行内部改进。

处理好Ops可见性提升带来的隐私问题

在 DevOps 时代开展 IT 运营的一个关键原则是对软件和基础设施进行高度测试,以提高可靠性并改进实践。运营团队正在向 AI Ops 实践迈进,AIOps 实践强调尽可能多地收集 IT 数据,并使用机器学习和 AI 算法来处理所有事情,以便对潜在的性能问题做出更灵敏的响应和预测。这确实有利于提高系统正常运行时间比例,但从隐私角度来看,随着 AIops 从数据中心转移到边缘,这可能会产生新的隐私问题。

OpsRamp 的机器学习架构师 Jiayi Hoffman 解释说:

随着人工智能在边缘的发展,公司更容易监控台式机、平板电脑和其他终端用户设备。AIOps 表面上可以看到员工在其设备上所做的一切。考虑到工作和个人时间之间的界限是模糊的,这意味着有可能获得个人银行账户或医疗挂号信息。

Hoffman 说,未来一年,安全部门的领导应该帮助他们的CIO和CTO与人力资源和法律部门合作,“在企业稳定监控设备和保护员工个人隐私之间取得正确的平衡点。”。

制定安全培训计划

安全团队根本就没有足够的人手为应用开发的每个环节都派驻一个安全仲裁者。Coveros 首席技术官汤姆斯蒂姆 (Tom Stiehm) 表示:当考虑 “左移” 时,核心目标是让安全成为每个人的责任,而不仅仅是安全部门的职责。他说,最好的组织往往遵循 100-10-1 的比例,因此每 100 名开发人员中就有 10 名 DevOps 专业人员和一名应用程序安全专业人员。

Stiehm 随后又表示:即使是这样的比例(可以说是乐观的),可能也没有足够的时间完成所有工作。

聪明的 DevSecOps 安全专家意识到,那些有限应用安全专家应该扮演培训导师的角色,而不是执行者或安全检察员,制定一个一个正式的开发人员安全培训计划,并为他们提供执行安全任务所需的工具,安全团队将可以腾出大量时间覆盖更多的领域。

本文来自信息化观察者网,转载请注明出处。