x

【安全战略】在DevOps环境中管理安全性

Chinese, Simplified
SEO Title
Managing Security in a DevOps Environment

DevOps是一种软件开发实践,开发和运营工程师在整个产品生命周期中进行协作。随着DevOps在主流级别的采用,我们现在看到安全性开始在DevOps的日常职责中发挥更大的作用。从安全角度来看,DevOps可以通过将安全性从最早阶段更紧密地嵌入到软件开发生命周期中来帮助提高应用程序的安全级别。但这种进步并非没有挑战和权衡。在这篇文章中,我们将研究DevOps对企业安全和安全组织的影响。

关于安全责任的辩论


编写好的代码意味着在代码开发过程中采用良好的安全实践。毫无疑问,开发人员需要编写具有高安全性标准的代码,但是出现的问题是谁负责组织的安全性?
在非DevOps环境中,我们看到集中安全模型的趋势,其中安全解决方案由公司安全团队管理。该团队执行组织安全策略 - 这意味着他们对安全性负责,并将实施和控制所需的安全产品以检测和阻止攻击。
但是,在应用程序开发方面,集中式安全模型存在已知的挑战。我们从不止一个Imperva客户那里听说,安全团队和应用团队之间往往没有很强的合作(协调,沟通......)。例如,应用程序团队在应用程序更改时不会更新安全团队,因此安全团队无法在启动新版本之前更新安全策略。
DevOps方法改变了组织思维。这个想法是“每个人现在都负责安全” - 这就是DevSecOps概念的出现方式。但企业安全团队如何适应新形象?

将安全责任转移给开发人员的挑战


采用DevOps通常会改变安全模型。一些职责从IT安全组织转移到应用程序团队。例如,除了部署应用程序之外,我们还看到应用程序团队部署(和运行)安全解决方案,例如Web应用程序防火墙(WAF)。
虽然这种变化可能带来好处,但它也可能给组织的安全带来一系列新的挑战。首先,在每个应用程序组中维护安全人才是低效的。在不同团队之间拆分安全知识会使在整个组织中应用统一安全策略的工作变得复杂。
此外,并非所有问题都可以通过编写安全代码来解决。作为一个例子,让我们看一下外部库的使用。现代应用程序倾向于依赖提供标准和经过验证的功能的第三方框架和库。通过使用这些库可能出现的安全漏洞的演示是Heartbleed,这是广泛使用的OpenSSL加密库中的一个漏洞,它影响了数百万个网站。通过单独修补所有应用程序来缓解Heartbleed和类似的漏洞是一项几乎不可能完成的任务。但是,使用集中式安全解决方案(例如使用虚拟修补程序的WAF)可以快速有效地保护所有系统。
但我觉得有一个更大的问题需要讨论。安全所有权。

安全团队的角色转变


在与客户交谈时,我们听到安全架构师说他们的角色将转变为“组织的安全顾问。”听起来很棒 - 这种转变可能会带来好的结果。安全工程师将开始与开发人员密切合作,减少组之间的摩擦,提高开发人员对安全性的意识。另一方面,将角色从所有者更改为顾问可能会降低安全专业人员的承诺水平,因为他们不再感到自己“拥有”安全性。
另一个主要问题是事件响应,因为安全性的所有权并未在部署时结束。虽然安全团队生活和呼吸安全,专注于预防和缓解,但应用程序团队无法对安全性给予同等程度的关注。在DevSecOps中,应用新的安全配置是一项任务,例如发布新版本的代码。安全工程师会立即将更新的策略应用为高优先级,但在DevSecOps下,此任务将成为代码发布管道的一部分,其时间可能因不同的应用程序团队而异。

安全组织在未来时代的作用


鉴于违规成本高且不断增长,安全仍将是优先事项。有人总是需要对组织的整体安全负责。执行管理层将继续让安保人员对整个安全负责,这似乎很自然。在这种情况下,安保人员必须继续在制定和执行安全战略方面发挥积极作用,不仅可以担任顾问。
毫无疑问,安全组织必须适应DevOps引入的不断变化的环境。即使在他们的新角色中,无论在其环境中如何形成,安全团队仍将定义和实施安全准则,自己的安全系统并定义如何将安全性合并到DevOps流程中。
安全产品还必须适应新环境,并提供与DevOps环境的更好集成。安全供应商必须意识到他们的用户可能不再只是安全专业人员,因为部署可以由软件工程师执行。安全经理有责任通过要求更多的自动化功能,推动供应商在需要时调整产品。

最后的想法


高层管理人员花了几十年的时间才要求安保人员在行政桌上提供企业安全状况更新。 DevOps可能会改变游戏规则,因为它为组织带来了很多价值 - 它提高了生产力和质量,甚至(在某些情况下)提高了安全标准。但共享的安全所有权可能会使事情倒退 - 消除了多年来在保护网站和服务方面取得的许多进展。虽然安全组织需要适应DevOps和DevSecOps的新世界,但它无法逐步淘汰并完全将安全性的所有权移交给开发人员。放弃完全控制可能最终会降低安全标准。随着安全漏洞趋势如今,安全团队发现一旦放开缰绳就很难重新获得控制权。

原文:https://www.imperva.com/blog/managing-security-devops-environment/

本文:

讨论:请加入知识星球或者小红圈【首席架构师圈】

Tags

Article
知识星球
 
微信公众号
 
视频号