最后更新于2023年7月25日星期二20:58:59 GMT
当谈到将安全控制转移到云端时, “保护”事物的概念似乎有悖直觉. 但, 当我们考虑通过一些安全控制右移来获得效率时, 发送更细粒度的数据是有意义的, 对受信任的托管服务云合作伙伴的基础责任. 这有助于提高开发和部署速度, 不损害您的定制过程的完整性.
建立一个真实的 DevSecOps 生态系统可能是大多数团队的共同目标. 然而, 非共性通常以技术和组织障碍的形式出现. 让我们来看看一些关键的见解 2020年SANS研究所调查 当前的行业努力更紧密地整合DevOps和 SecOps以及如何规划最好的前进道路.
安全形势
在更传统的环境中, 安全团队经常觉得他们被DevOps的步伐甩在了后面. 漏洞 比警察可能找到它们的速度还要快. 这种转变发生在正在建设的团队身上 持续交付框架,在游戏的每个阶段都进行合规性检查. 这就变成了在环境建设过程中保护环境的问题.
目前, 大约74%的组织每月部署一次以上的变更, 根据SANS. 通常,这些是每周或每天的实例. 因此,速度在提高,主要是为了更快地满足客户的需求. 传统的变更审批和安全控制正变得越来越像护栏式的检查. 然而,挑战在于优化流程并使其尽可能安全.
增加云应用
从安全的角度来看, 过渡到云提供商的责任模型可以更好地匹配DevOps的步伐并提高交付速度. 当这两个速度都在负责任地增长时,这对企业有利.
- 与传统设置相比,云托管VM平台允许团队更快地启动流程.
- 云托管容器服务和无服务器平台的采用正在加速,因为供应商正在做更多的供应, 打补丁, 并针对许多现有的执行环境进行升级.
- 越来越多的组织运行在云托管的虚拟机上,而不是容器服务和无服务器平台, 但这可能会改变,因为后两种选择允许您进一步减少责任模型.
多重云动机
大约92%的组织至少在一家公共云提供商上运行. 但对于60%的公司来说, 将服务分散到多个提供者之间背后的主要动机并不像人们想象的那么技术性.
合并和收购会造成明显的复杂性, 因为公司之间相互连接,并可能在不同的云环境(如AWS)中运行类似的流程, Azure, 或质量. 也有决策者和团队优先考虑基于任务的方法,并选择最佳环境来完成特定的工作. 多云环境的好处可能会变成缺点, 随着安全变得越来越难以规划和理解. 没有人希望在一个本质上应该减轻责任并使事情变得更容易的方法中出现复杂性.
风险不会转化为SecOps
随着越来越多的DevOps团队增加对JavaScript的使用, 传统的安全控制不支持流行的格式以及其他遗留语言. 在这种情况下,风险更大. 然而, 就技术债务而言,一款较老的网页应用如果一段时间没有更新,可能只是冰山一角.
基于Java等老语言的应用程序, .. NET和c++可以在团队转向更新的语言时留下隐患. 所以,这种情况也存在风险. 安全团队甚至可能没有意识到他们对这些遗留应用程序存在的漏洞一无所知, 因为他们试图跟上DevOps的步伐.
左移的未来
在安全测试阶段, 仍然有很大的QA倾向. 目前正在做更多的工作将这些协议纳入这一进程, 但烘焙测试在很大程度上尚未发生重大变化.
- 在接下来的十年里, 团队可能会采用更多基于云的集成工具,比如AWS CodePipeline, Microsoft Azure DevOps, GitHub的行为, 和GitLab CI. 在这些情况下, 云提供商正在为您管理更多的东西, 最小化攻击面并提供更多内置安全性. 尤其是GitHub和GitLab,它们正趋向于更强的内置安全性.
- 在过去的十年里,Jenkins一直是持续集成工具的选择. 然而, 24/7运行在本地或云中以管理构建的特性, 释放, 补丁会增加攻击面.
- 当谈到容器编排工具时, 像AWS Fargate和Azure Container这样的云管理服务开始与Docker和Kubernetes这样的云托管服务并举. 外包控制点和强化责任正变得越来越有吸引力, so that security can shift further left into containers; it simplifies testing 和 helps ease deployment.
右移的未来
大约65%的时间,安全测试的责任由实际的安全团队承担. 然而,, 63%的时间是开发团队在管理纠正措施, 根据SANS. 这些数字表明,很大程度上孤立的行动阻碍了通往真正DevSecOps方法的道路.
衡量DevSecOps成功与否的最大标准是解决问题所需的时间. 让团队以一种快速的方式来解决一个问题可以决定成败. 另外, 识别部署后的问题可以帮助改进左移控制,以防止这些问题逃逸到生产环境中.
100%的跨职能工作很可能不是每个组织都能实现的. 然而, 接近这个目标有助于加强团队, 提升士气, 并反馈关键的学习,最终提高成功的速度.
总之
具有讽刺意味的是,最大的挑战本质上并不是技术上的. 组织内部的繁文缛节可能会带来挑战,比如缺乏管理层的支持, 预算不足(开源工具可以提供帮助)!),以及各自为政. 另外, 熟练工人的短缺可能会加强这些管理级别的旧决策模式.
当涉及到紧密的团队合作,并获得更多的时间来创新, 这通常是一种周期性的右移舞蹈,以提高你在左移时的努力. 例如, 你能进一步进入云端而不是自己动手构建吗, 全面的安全解决方案? 卸载可以帮助创建更多的控制,与DevOps一起加强安全性.
没有人愿意损害准时部署的完整性, 特别是当它涉及到客户和公司的底线时. 由Rapid7共同赞助, 在最近的SANS网络研讨会上,我们将深入探讨一项关于公司及其在DevSecOps方面的进步(或不足)的最新调查的关键统计数据.
