在不牺牲自动化的情况下将DevOps转变为DevSecOps

发布于:2021-01-12 13:50:52

0

110

0

DevOps DevSecOps

随着公司内部DevOps的成熟,流程变得高效而快速,但安全性最终落到了一边。在本文中,加里·史蒂文斯(Gary Stevens)解释了为什么安全性渗透到DevOps中,以及DevSecOps的增长如何导致数据和安全性破坏率显着下降。

随着网络安全性席卷全球,并且黑客以惊人的速度发展,防止数据泄露的愿望空前高涨。从统计数据可以看出,有24%的IT团队正在过渡其DevOps以纳入文化安全转移的统计数据。

这种自动化和变更过程被称为DevSecOps,是DevOps文化的下一步。预计它将成为2019年最大的趋势之一。

安全性渗透到DevOps的原因

安全是重中之重

在数字时代,安全性跃升至公司关注的最前沿。从Wannacry之类的病毒影响150个国家的100,000个组,到每月平均接收16封恶意电子邮件的平均用户,显然需要将安全意识转变为公司的核心实践。

没有哪个行业比加密货币更了解这一点。Cointhumb通过一次黑客攻击损失了3200万美元的客户货币。仅在2018年上半年,就有大约11亿美元的加密货币被盗。

我们已经看到公司不得不关闭网络安全攻击。2014年,Code Spaces遭受了大规模DDoS攻击,并被匿名黑客勒索赎金-迫使他们关闭。

而且,如果外部威胁不会使您的公司倒闭,内部威胁也可能会出现。平均每天,美国企业中发生2500起内部安全漏洞。IT专家认为这是可以预防的问题。

监管

通用数据保护条例(GDPR)于2018年5月25日正式生效,随之而来的是欧洲(以及全球)消费者数据格局的广泛变化。GDPR的两个主要目标是保护欧盟公民的数据隐私并重塑公司处理数据隐私和安全性的方式。

随着新规定的出现,有机会在天文学水平上被罚款。谷歌在2019年初被判处5700万美元罚款时被发现,Facebook目前正在接受违反GDPR的调查

日益严格的法规迫使公司在整个公司文化中整合安全流程,因此除了DevSecOps之外,DevOps毫无处可走。

DevOps更有效

一个EMA报告发现DevSecOps的主要优点是比现有的安全协议和跨安全提高效率更好的投资回报率和IT流程。另一个好处是能够更高程度地使用现有的云服务。云存储比其他存储更安全。

DevSecOps比起要执行的任务列表更像是一种文化转变。目的是提高安全性和生产率的整体质量,而不是使用“附加”安全性方法。

{xunruicms_img_title}

在2018年,Logz.io进行了一项调查,询问IT公司有关其DevSecOps集成的信息。约有76%的人承认不实践DevSecOps或仍在实施该实践。走向DevSecOps的最大障碍是知识

从该研究中,有71%的受访者表示他们认为自己对DevSecOps的实践不了解。随着安全自动化水平的提高和实践的普及到足以提供易于使用的知识库,这一数字有望减少。

《 2018 DevSecOps社区报告》惊人地揭示了我们开发人员的人性。错误和错误仍然像以往一样普遍。该报告显示,48%的开发人员实际上没有时间从事安全工作,并且大多数人不愿从事安全工作。

CTO和经理应在设计和开发的早期阶段分配时间,以朝着安全意识转变的方向努力。对可以自动化的东西保持警惕也将有助于解决这个问题。通过使重复执行的任务自动化,可以创建流程并创建便于审核的跟踪。

幸运的是,随着安全问题的持续增长以及将安全性进一步集成到DevOps流程中,将创建更多工具来自动执行安全任务。

自动化工具

不必为了安全而牺牲自动化。如果您想深入了解DevSecOps可用的工具,请在DevOpsCon上查看Christian Schneider的课程。以下是一些目前可将安全性纳入您的开发过程的最佳工具:

  • 连续性安全性:包括两个模块,有助于管理和测试产品的安全性。

  • ThreatModeler:ThreatModeler具有一组仪表板,使每个人都可以接触应用程序安全性。

  • Checkmarx:为开发人员和DevOps工程师提供解决方案,将安全代码分析和测试纳入开发流程。

  • IMMUNIO:在公司的软件内部署代理,并尝试查找可能的利用。

  • Aqua Security:是一个安全平台,专门研究容器化应用程序及其基础结构。 

  • Gauntlt:允许公司进行可在部署和测试过程中使用的测试。

  • CA VeraCode:旨在满足安全人员和应用程序开发人员的大多数需求。

其他简单步骤

警觉

{xunruicms_img_title}

幸运的是,有多个快速且相对简单的步骤可以将安全性集成到您的流程中。团队成员应该已经在使用恶意软件识别软件,并且直到每个上网的人使用VPN的日子都在减少。全球已经有超过四分之一的互联网用户部署了其保护性数据加密功能。由于91%的网络攻击都是通过简单的电子邮件开始的,因此必须对非技术(和技术)团队成员进行网络钓鱼和其他类型的社会工程学危害教育。

渗透测试

在攻击发生之前进行模拟可以很好地适合DevOps流程。这是在真正的黑客之前先暴露您的弱点,并揭示哪些安全领域需要改进的做法。渗透测试团队的一个例子是Nick Ismail。在此测试中,以6,000名员工中的14名为幌子,将其链接发送到假网站。在14位员工中,有8位点击了链接并输入了他们的信息。失败!

最后的想法

随着公司内部DevOps的成熟,流程变得高效而快速,但安全性最终落到了一边。既然具有严重后果的数据泄露已迫使安全性成为关注的焦点,并且是一种紧急的,重点突出的演进,诀窍是将其以允许敏捷开发仍然存在的方式将其合并到DevOps中。当然,最终结果是DevSecOps的增长使数据和安全漏洞的发生率显着下降。