登录/注册 账户

DevOps的

什么是DevSecOps?

DevOps的不仅仅是开发和运营团队。如果你想采取的DevOps方法的灵活性和响应能力的充分利用,IT安全还必须在应用程序的整个生命周期中发挥作用整合。

为什么?在过去,安全的角色分离到一个特定的团队在开发的最后阶段。这是不是有问题时,开发周期历时数月甚至数年,但那些日子已经过去了。有效的DevOps确保快速和频繁的开发周期(有时数周或数天),但过时的安全做法甚至可以撤消最高效的DevOps举措。

图片

现在,DevOps的的合作框架,安全是共同的责任集成从头到尾。这是一种非常重要的心态,它导致一些人创造了“DevSecOps”这个术语,以强调在DevOps计划中建立安全基础的必要性。

图片

DevSecOps方式思考应用和基础设施的安全性从一开始。这也意味着自动化一些安全门可以防止DevOps工作流变慢。选择正确的工具来持续地集成安全性,比如就安全性问题达成一致集成开发环境(IDE)具有防伪功能,可帮助实现这些目标。然而,有效的DevOps安全需要的不仅仅是新的工具,它建立的DevOps的文化变革,以安全团队的工作宜早不宜迟整合。


DevOps的安全性是内置的

不管你叫它“DevOps”还是“DevSecOps”,把安全性作为整个应用程序生命周期的一个组成部分总是很理想的。DevSecOps是关于内置的安全,而不是作为应用程序和数据外围的安全。如果安全性在开发管道的末尾仍然存在,采用DevOps的组织会发现自己回到了最初试图避免的长开发周期。

在某种程度上,DevSecOps强调了在DevOps初始阶段邀请安全团队来构建信息安全并为安全自动化设置计划的必要性。它还强调了帮助开发人员编写安全代码的必要性,这个过程涉及到安全团队共享已知威胁的可见性、反馈和洞察力。这可能还包括为开发人员提供新的安全培训,因为在更传统的应用程序开发中,它并不总是关注的重点。

什么是内置的安全真的是什么样子?对于初学者来说,一个好的DevSecOps策略是确定风险承受能力和进行风险/效益分析。一个给定的应用程序中是必要的什么安全控制的金额是多少?重要的是如何进入市场的速度为不同的应用程序吗?自动化重复的任务,关键是DevSecOps,因为运行在管道人工安全检查需要花费很长时间。


DevOps的安全自动化

要做到:保持短期和频繁的开发周期,以最小的中断操作集成安全措施,跟上创新的技术像集装箱微服务和所有的同时常用隔离之间建立更紧密的合作团队,这是任何组织一个艰巨的任务。所有这些举措开始在人类的水平,与您的插件和协作的出局组织,但在DevSecOps框架那些人的变化是主持人自动化

图片

但是,自动化,以及如何?有书面指导来帮助回答这个问题。组织应该退后一步,考虑整个开发和操作环境。这包括源控制存储库、容器注册、持续集成和持续部署(CI/CD)管道、应用程序编程接口(API)管理、编排和发布自动化,以及操作管理和监控。

新的自动化技术已经帮助组织采用了更敏捷的开发实践,它们还在推进新的安全措施方面发挥了作用。但是自动化并不是IT领域近年来发生变化的唯一因素原生云容器和微服务等技术现在是大多数DevOps计划的主要部分,DevOps安全性必须适应它们。


DevOps安全性是为容器和微服务构建的

通过容器启用更大规模和更动态的基础架构已经改变了许多企业做生意。正因为如此,DevOps的安全实践必须适应新的景观,并与对齐特定容器安全指导方针

本地云技术不适合静态安全策略和检查列表。相反,在应用程序和基础设施生命周期的每个阶段,安全性必须是连续的和集成的。

DevSecOps意味着在应用程序开发中从头到尾构建安全性。集成到管道中需要新的组织思维方式,就像需要新的工具一样。考虑到这一点,DevOps团队应该自动化安全性,以保护整个环境和数据,以及持续集成/持续交付过程——这一目标可能包括容器中的微服务的安全性。

整个容器的应用程序栈和生命周期,本次网络研讨会系列获得安全专家的观点。

环境和数据的安全性:

标准化和自动化的环境。

每个服务应该拥有尽可能少的特权,以减少未授权的连接和访问。

集中了用户的身份和访问控制功能。

严格的访问控制和集中的身份验证机制对于确保微服务的安全至关重要,因为身份验证是在多个点启动的。

将运行微服务的容器与其他容器和网络隔离。

这包括在运输途中和在休息的数据,因为这两个可以代表攻击高价值目标。

应用和服务之间的数据进行加密。

具有集成安全特性的容器编排平台有助于减少未经授权的访问机会。

介绍安全API网关。

安全api增加了授权和路由可见性。通过减少公开的api,组织可以减少表面的攻击。

CI / CD过程中的安全性:

为容器集成安全扫描器。

这应该是向注册中心添加容器过程的一部分。

自动化安全的CI流程测试。

这包括运行安全静态分析工具部分的构建,以及扫描已知安全漏洞的任何预建容器图像,因为它们拉入构建流水线。

添加自动化测试的安全功能集成到验收测试过程。

自动化输入验证测试,以及验证身份验证和授权功能。

自动化的安全更新,如补丁的已知漏洞。

通过DevOps的管道做到这一点。这应消除需要管理员登录到生产系统,同时创造一个记录和追踪更改日志。

自动化系统和服务配置管理功能。

这允许符合安全策略和人为错误的消除。审计和补救,应自动为好。

您需要的DevSecOps工具

红帽子自动化

一种简单的、无代理的IT自动化技术,它可以改进您当前的过程,迁移应用程序以获得更好的优化,并为跨组织的DevOps实践提供一种单一的语言。

Red Hat OpenShift

Red Hat®OpenShift®为基于容器的应用程序提供内置的安全性,包括基于角色的访问控制、安全增强的Linux (SELinux)启用的隔离,并在整个容器构建过程中检查。

还有很多更多的是DevSecOps