DevOps意味著開發(fā)比以往任何時候都快。如何確保一切都是安全的，尤其是在遷移到云時？伊萬·諾維科夫（Ivan Novikov）仔細研究了如何使所有事物保持同步發(fā)展，而又不會留下巨大的安全漏洞。

為了使企業(yè)在未來幾年中蓬勃發(fā)展，他們的未來可能會基于云。自2002年推出Amazon Web Services（AWS）以來，云計算的日益普及使云計算成為組織中第一大增長領域。

加特納說過：“在2022年之前，Gartner預測云服務行業(yè)的市場規(guī)模和增長將是整體IT服務增長的三倍……云服務無疑正在撼動整個行業(yè)。在Gartner，我們不知道今天有任何供應商或服務提供商的業(yè)務模型產(chǎn)品和收入增長不受組織中越來越多采用云優(yōu)先策略的影響?！?/span>

這很容易理解。數(shù)字化轉(zhuǎn)型引領業(yè)務增長。云加速了這種轉(zhuǎn)變，簡化了流程并促進了全球團隊之間的協(xié)作。云還：

用開發(fā)和運行應用程序所需的按需計算能力來代替昂貴的硬件以及相關的管理和運營成本；

使應用程序和基礎微服務能夠快速擴展，而無需鎖定任何特定的硬件配置。

簡化IT管理選項，同時提高內(nèi)部IT基礎架構的可靠性。

同樣，云遷移（就像任何革命性的變革一樣）伴隨著影響我們安全推進業(yè)務的方式的變化。

了解云原生架構的影響和新的安全挑戰(zhàn)

第一步是了解云將如何影響您的DevOps和安全格局。云架構如何改變您的業(yè)務有兩個相互影響的巨大趨勢：基于新架構的技術催化劑；以及業(yè)務流程挑戰(zhàn)將如何在基礎架構中產(chǎn)生影響。

云中的技術挑戰(zhàn)

云技術可以改變技術。

由于傳統(tǒng)的安全性考慮讓位于云中誕生的新安全性概念，因此需要進行權衡。從好的方面來說，云的規(guī)模及其運營團隊的專業(yè)知識

解決了CTO / CSO及其內(nèi)部團隊以前必須承擔的許多問題。建立，維護和保護計算資源的物理部分不再是開發(fā)成功的試金石。例如，一旦遷移到云，就不必擔心備份是內(nèi)部部署還是外部部署。但是，云帶來了一些顯著的安全性挑戰(zhàn)：容器安全性和不斷變化的管理員IT專業(yè)知識。

新環(huán)境要求更多地依賴API。但是，傳統(tǒng)的解決方案并非旨在解決API級別的漏洞，并且隨著攻擊性API不斷發(fā)展以管理和傳遞復雜的數(shù)據(jù)結(jié)構，執(zhí)行應用程序邏輯，并在各個容器之間提供協(xié)調(diào)工作以運行Web的血液流動，它們變得越來越復雜。應用。此外，API的類型很多：面向用戶的API提供了要在瀏覽器中顯示的信息；東西方API將應用程序和微服務連接在一起；服務API允許監(jiān)視，警報和應用程序管理；移動后端API使iPhone等設備真正智能化。還有一個完整的第三方生態(tài)系統(tǒng)，完全通過API提供數(shù)據(jù)服務。例如，只需支付少量費用，

API對于現(xiàn)代體系結(jié)構至關重要，并滲透到處理最敏感數(shù)據(jù)的應用程序中。但是，API會說不同的“語言”或協(xié)議，這使它們難以監(jiān)視。因此，至關重要的是要有適當?shù)腁PI優(yōu)化安全性，以確保仔細監(jiān)視和標記內(nèi)部API和所有傳入數(shù)據(jù)，并適當?shù)卮_定優(yōu)先級并解決問題。

新架構面臨的另一個主要挑戰(zhàn)是對容器和微服務的依賴。像Kubernetes這樣的微服務管理系統(tǒng)可以簡化遷移。它們可以用于私有云和公共云，例如Google，Azure或Amazon。但是，這些系統(tǒng)具有自己的一組安全性概念。例如，即使您在入口控制器上安裝了解決方案，也需要確保它可以跟上大流量和云自動擴展。沒有人愿意為了速度而犧牲安全性。

此外，云的靈活性意味著一方面管理對基礎架構的訪問可能是一個挑戰(zhàn)，而對云管理平面的訪問就像獲得王國的鑰匙一樣。確保訪問點的安全并限制共享憑據(jù)非常重要，這樣可以避免它們受到威脅。而不是為您的根帳戶創(chuàng)建訪問密鑰，而是實現(xiàn)可靠的基于角色的訪問控制（RBAC）。

最后，專家少于采用者，并且對安全工具和最佳實踐的關注不足。涌現(xiàn)出太多的新技術，使得捍衛(wèi)這一新的計算領域變得復雜?？焖俨捎玫膯栴}部分在于，這些新技術，基礎架構以及大量工具和第三方不屬于既定課程。沒有足夠的人訓練來理解全局或微觀細節(jié)。

（我們稍后將討論在新的云環(huán)境中誰負責安全性。）

面向云的新DevOps

除了技術革新之外，云還緊跟業(yè)務流程的重大變化和挑戰(zhàn)。

云的演進與特定的DevOps流程和加速相關。為了真正解決云中的安全問題，我們將必須解決安全性如何與現(xiàn)有DevOps工作流程集成的問題。

快速的開發(fā)周期（有些短至幾分鐘）意味著不再可能提前預測和引入生產(chǎn)需求以及進行測試。操作中的所有內(nèi)容（從物理服務器部署到基本訂購的采購過程）都必須跟上。因此，DevOps是自然合并。

云的靈活性是邏輯上的推動力，用于處理不可預測的服務器負載和體系結(jié)構，最終用戶以及持續(xù)集成和部署（CI / CD）產(chǎn)生的無數(shù)變量。沒有內(nèi)部部署和公共云體系結(jié)構和服務的必然增長，很難想象CI / CD的發(fā)展速度。但是，這些快速的CI / CD流程正在改變業(yè)務期望，并加劇了向市場交付產(chǎn)品的競爭。

更快的開發(fā)周期對業(yè)務的技術影響不容忽視。我們已經(jīng)看到，保險公司正在提供數(shù)據(jù)保護網(wǎng)絡保險，并尋求答案，以幫助量化違規(guī)風險和保護質(zhì)量。我們看到出現(xiàn)了影響技術采購和選址的法規(guī)討論。即使企業(yè)向開源社區(qū)交納了數(shù)十億美元的研發(fā)費用，安全責任和影響的問題仍在繼續(xù)。

就內(nèi)部而言，內(nèi)部團隊將必須優(yōu)先考慮安全衛(wèi)生和公司范圍內(nèi)的最佳實踐。DevOps團隊可能會抵制這些更改，因為他們必須獲得新的技能才能安全有效地管理DevOps和CI / CD流程。但是，您的總體安全狀況取決于每個人在安全意識，維護等方面的了解。

為了跟上快速CI / CD工作流中業(yè)務和技術轉(zhuǎn)換的協(xié)調(diào)，安全必須適應云。它不僅必須部署在新技術體系結(jié)構的關鍵領域，而且還必須與新的業(yè)務實踐集成。安全性必須與云本身一樣靈活，響應迅速，功能強大且集成在一起。

誰負責云安全？

向云遷移的最明顯轉(zhuǎn)變是外包。您的物理硬件和數(shù)據(jù)基礎架構不再完全由您掌控。當數(shù)據(jù)通過基礎架構即服務（IaaS）或平臺即服務（PaaS）傳輸時，誰負責安全性？

與云提供商合作將安全責任劃分給云提供商和內(nèi)部團隊之間。內(nèi)部團隊需要了解他們負責保護總體解決方案的哪些部分以及確保這些解決方案安全的最佳實踐。

總體而言，云提供的功能和敏捷性正在加快開發(fā)周期，使安全性與新變更分開存在。因此，對于開發(fā)周期而言，包括安全性基礎結(jié)構和最佳實踐很重要。

諸如不知道專注于安全性的基礎結(jié)構層之類的簡單操作可能會導致數(shù)據(jù)泄露。根據(jù)Verizon的《 2019年數(shù)據(jù)泄露調(diào)查報告》，內(nèi)部員工的失誤占所有數(shù)據(jù)泄露的34％。這些違規(guī)行為給組織帶來了財務和聲譽損失，這些損害往往無法挽回，尤其是對于中小型組織。

技術解決方案還可以幫助您了解DevOps工作流程的緊迫性，并將安全測試和解決方案集成到工具鏈，工作流程和流程中。但是，這些工具和解決方案最終將依賴DevOps內(nèi)部的安全任命人員，而不是單獨的安全團隊。

云提供商的安全責任與客戶端責任的分擔

與公共云提供商合作的主要好處之一是，他們非常重視安全性和合規(guī)性。云提供商在保護云環(huán)境方面投入了大量資金，以確保它們與本地環(huán)境一樣安全。公共云提供商對服務器位置，硬件本身，主機操作系統(tǒng)和虛擬化層進行物理訪問安全性管理。簡而言之，就是提供服務的基礎架構。

DevOps團隊負責保護公司數(shù)據(jù)，操作系統(tǒng)，應用程序邏輯和端點。與云提供商共享安全責任可以減輕管理負擔，但重要的是使正在進行的維護成為正在進行的CI / CD流程的一部分，而不是僅依靠云提供商來進行處理。還值得一提的是，使用開源組件的開發(fā)人員必須維護這些資源，以確保不會引入漏洞。這可以通過運行發(fā)現(xiàn)來識別和跟蹤所有開源組件來完成。

為了提供適合各種組織特定需求的服務，云提供商提供了幾種云計算模型，包括軟件即服務（SaaS），平臺即服務（PaaS）和基礎設施即服務（IaaS）–每個涵蓋不同數(shù)字解決方案的級別和相應的安全性。

根據(jù)云標準客戶委員會（CSCC），隨著從SaaS到PaaS再到IaaS的用戶責任趨于增加。

使用SaaS模型的團隊在安全性方面的參與最少，因為他們使用的是預先設計的服務，而云提供商則負責處理所有技術方面的問題。這意味著他們可以依靠提供商來管理基礎結(jié)構，軟件堆棧以及大多數(shù)相關的應用程序邏輯。

有關安全性所有權和職責的完整列表，團隊應檢查其首選的云服務提供商的服務級別協(xié)議。一旦團隊清楚地了解其安全職責，他們便可以將時間集中在保護自己擁有的組件上，并放心其云提供商將處理其余組件。此類策略的一個很好的例子是AWS的分擔責任模型。它清楚地記錄了客戶對其AWS基礎架構中的數(shù)據(jù)，API和軟件堆棧的責任。

在云遷移的安全解決方案中尋找什么？

依靠云提供商以他們從未申請過的方式進行監(jiān)視和保護，這對組織安全是一個巨大的挑戰(zhàn)。讓我們以AWS為例。作為最古老的IaaS提供商，AWS奠定了基礎，并花費大量資源來培訓客戶。亞馬遜嚴格遵守服務規(guī)定。他們采取了令人難以置信的措施來確保其提供的物理設施和技術。因此，公司通常不必擔心網(wǎng)絡安全性，服務器或路由器之類的問題。但是，亞馬遜也非常清楚，應用程序所有者對其他組件負責。

正如亞馬遜對云安全負有共同責任的立場所解釋的那樣，他們負責該系統(tǒng)。但是，應用程序中的數(shù)據(jù)，與用戶相關的安全性以及人們與應用程序的連接方式不在他們的管轄范圍之內(nèi)。甚至有一個論點是，試圖確保這一點將等于公司超支或阻礙了進展。

僅僅相信應用程序和微服務將由開發(fā)人員和提供者保護是不夠的。您必須確定自己的軟件解決方案在發(fā)生最多更改和數(shù)據(jù)的邏輯級別（API級別（第7層））上是安全的。尋找：

• 在應用程序級別部署的工具

• 在您的CI / CD中起作用的解決方案

• 集成工具集和流程不會增加資源需求

• 自動化，可靈活應對

這是安全管理云并將您的業(yè)務遷移到功能強大且靈巧的解決方案中的一部分。

啟用安全性的API和微服務為公司提供了必要的靈活性，以隨著云進行擴展和增長。無論您是決定補充現(xiàn)有技術堆棧，還是完全遷移到新一代的容器和微服務，我們都將重點放在如何管理新動態(tài)基礎架構的方式，位置和方式上。這是需要新的治理流程和自動化策略的地方。展望未來，云是業(yè)務中功能最強大且不斷發(fā)展的單一變壓器。

安全必須適合于業(yè)務功能的特定條件和特定的環(huán)境才能有效。這并不總是意味著乏味的自定義，而是意味著您需要可以適應您自己的基礎架構，業(yè)務邏輯和流量并從中理想地學習的解決方案。在更深層次上安裝的機器學習可以使您的業(yè)務與眾不同，這可以確保這一點。

鼓勵DevOps與安全團隊之間的合作

在技術影響之外，云將需要在組織上進行新的重組。例如，如果您的職責是管理云，那么組織結(jié)構圖是什么樣的？誰應對風險形勢負責？CISO和CTO的角色如何變化？它還將改變安全專家如何適應您的組織結(jié)構。

傳統(tǒng)上，開發(fā)，運營和安全團隊都是孤島工作。隨著開發(fā)和運營合并到統(tǒng)一的DevOps實踐中，問題是DevOps是否會從根本上削弱安全性。在DevOps中，開發(fā)的速度是決策制定的重中之重，特別是在使用外部軟件和平臺時，而安全性通常是事后才想到的。隨著新威脅和漏洞的引入，威脅形勢正在迅速變化，這一挑戰(zhàn)進一步加劇。

期望開發(fā)人員成為一夜之間的安全專家是不現(xiàn)實的。但是，隨著應用程序開發(fā)速度的提高，以適應當今企業(yè)所需的速度和敏捷性，許多組織并未在其產(chǎn)品中構建安全性。

為了解決此問題，DevOps和安全團隊將需要合作，以便在開發(fā)生命周期的開始階段就納入安全性。

為了最好地整合角色，應考慮一些關鍵的最佳實踐：

• 考慮質(zhì)量檢查。最重要的是要建立一種文化，將安全視為優(yōu)質(zhì)產(chǎn)品，共同責任和重中之重。與應用程序性能和用戶體驗一起，它應被視為關鍵的應用程序指標之一。

• 將安全性集成到DevOps中。讓安全團隊參與或在DevOps流程的所有部分中指定安全角色，以確保從一開始就保持透明和協(xié)作；安全團隊可以檢測特定于應用程序的漏洞，并提供可行的DevOps建議，這些建議將為安全的編碼實踐提供依據(jù)。

• 啟用開發(fā)人員。由于大多數(shù)開發(fā)人員對要尋找的內(nèi)容的了解有限，因此在團隊中任命安全支持者非常好。他們可能不具備與白帽黑客相同的深入知識，但是他們將在安全方面有足夠的參與和了解，以了解概念并知道在哪里尋找正確的工具和資源。

• 獲取正確的工具和工具鏈。部署可以管理安全任務的自動化工具，以使小型安全團隊能夠?qū)⒏嗑性陉P鍵優(yōu)先事項上，例如定義框架和將精力更多地放在開發(fā)流程上；在云中以及CI / CD流程中自動生成并運行安全測試的工具將有助于實現(xiàn)這一點。

• 加強編碼。最后，許多安全問題來自最明顯的錯誤。組織需要投資培訓培訓開發(fā)人員以在云中安全地進行編碼，并將安全測試納入流程的一部分。通過機器學習監(jiān)視代碼的高級安全解決方案可以發(fā)現(xiàn)代碼中的漏洞模式，從而幫助開發(fā)人員增強代碼健康度。