GMTC深圳站售票最后一周,点击查看最新日程>> 了解详情
写点什么

为什么 DevOps 需要和安全相结合?

  • 2019 年 9 月 18 日
  • 本文字数:1822 字

    阅读完需:约 6 分钟

为什么DevOps需要和安全相结合?

在云服务的帮助下,企业能够在运营与管理层面获得灵活性、可扩展性以及易用性等诸多优势。



此外,云服务还使 IT 团队能够通过持续集成/持续部署(CI/CD)的方法实现应用程序与功能的快速交付。为了充分发挥云服务的功能特性,目前众多组织正在努力转向 DevOps 这一新的开发与交付理念。


速度是 DevOps 中最重要的组成部分之一,它使得组织能更好地响应客户与市场需求,同时持续提供创新产出。将 DevOps 作为一门重要的功课,组织将能够更从容地实现新功能与修复程序的迭代与部署,并快速将其交付至用户手中。


虽然 DevOps 强调速度,但其对安全性也同样给予高度重视。当然,必须承认的是,速度的急剧提升确实会给整个组织在云环境中对严格安全状态的恪守立场产生负面影响。


这就要求我们将 DevOps 与安全需求(SecOps)结合起来。目前二者虽然能够共存,但之间确实存在一定程度的紧张关系,甚至是冲突。


然而,安全与 DevOps 的对抗并不一定是零和游戏。事实上,我们需要的是一种能够将快速 CI/CD 需求与云安全控制及策略相结合的有效方法,从而高效运行数据与资源,同时保障业务流程安全可靠。


以下三项关键实践,在 DevOps 与 SecOps 的流程乃至思维方式的整合中发挥着至关重要的作用:


一、将安全性嵌入开发流程

某些组织采取预设的安全方法;他们将安全事务视为待办清单上的一系列条目,借此定期审查错误与漏洞。对于采用云服务的现代企业而言,这种陈旧的作法有可能无法及时跟上新漏洞的出现速度。


因此,我们必须将安全工作带入组织文化中,并将其视为整个 IT、产品以及工程流程中的必要组成部分。


除了在代码与资源层面采用安全控制的最佳实践外,各团队还必须在系统的生产运行环境中构建自动安全检查机制。


另外需要强调的是,即使在设计之初就充分考虑应用程序与系统的安全问题,同时在整个开发流程中贯彻适当的安全评估,我们仍有可能遭遇计划之外的配置变化,进而导致未能及时发现重要安全事故。


为了保障安全,企业必须对生产系统进行持续的安全与合规性监控。


二、将自动化机制全面引入安全体系

DevOps 的存在能极大提升生产效率;但另一方面,严格恪守安全原则会极大影响生产效率水平。


随着云部署与应用程序开发的快速推进,应用程序功能、配置以及工作负载每天都在发生持续变化,这意味着我们根本不可能以手动方式及时采用适当的安全性调整。


因此,将自动化机制全面引入安全体系就变得非常有必要。大多数开发人员已经熟悉脚本、编码以及复杂性简化等自动化概念,事实上云环境中的安全性保障也完全可以通过相同的方式实现。


安全功能与代码不同,对其进程的管理可以通过脚本及 API 访问进行,而非依赖于特定工具集。


目前,云环境正持续利用微服务架构及 DevOps 支持开发与部署流程,因此安全事务中的诸多工作也获得了可编程能力。


我们可以对集成与部署流水线进行轻松调整,充分利用自动化质量保证与安全控制机制支持现有开发工作流程。


此外,随着更多资源被添加至云环境、更多连接因素融入应用程序,我们也应利用自动化方案对直接影响组织安全态势的设置、策略、控件、签名以及其它元素进行持续观察,同时及时进行测试与修复。


三、达成共识

要将 DevOps 与安全工作结合起来,相关团队必须经历一场影响深远的文化变革;我们必须引导双方彼此结合,在协作的同时继续保持各自团队的独立性与积极性。


我们的目标,应该是在开发人员、运营团队、IT 管理者、QA 与安全、开发与管理等所有层面推行安全控制与最佳实践,同时继续尊重快速开发、部署与迭代等目标。


只有不同群体彼此之间理解对方的目标,才能从自身角度出发支持自己乃至对方的工作流程。


这听起来似乎很简单,但事实证明,事业的成功离不开参与各方彼此之间的同理心与顺畅沟通。这也要求我们建立起有效交流及敏捷的工作环境,使得各团队能够不断改进现有流程与运营方式。


此外,应当考虑利用正确的激励措施与 KPI 对不同群体提供激励,引导他们认同并支持这种新的 DevOps/安全运营集成方式。


从设计层面来看,云环境天然具有动态属性。但在其中多种多样的工作负载、令人眼花缭乱的连接阵列以及不断增加的表面区域之下,云环境始终坚持着同一项目标——助力代码开发并提供安全保障。


激进的时间表与截止日期往往迫使员工无视安全纪律,而在全面连通、快速变化的云环境中,安全漏洞将成为企业无法承受的致命软肋。因此,要想取得商业成功,企业必须建立起良好的流程与技术体系,从而有效保护各类关键资产与数据。


英文原文:


DevOps and Security…Because it Makes Sense


2019 年 9 月 18 日 14:181428

评论

发布
暂无评论
发现更多内容

使用策略模式重构电商折扣和支付场景

Tom弹架构

Java 架构 设计模式

OkHttp3源码详解之拦截器(四),计算机应届毕业生面试题

android 程序员 移动开发

QQ音乐Android编译提速之路,腾讯T2大牛亲自讲解

android 程序员 移动开发

React Native Android混合开发实战教程(1),flutter瀑布流

android 程序员 移动开发

OkHttp 3,安卓移动开发大作业

android 程序员 移动开发

RecyclerView 事件分发原理实战分析,历经30天

android 程序员 移动开发

React Native Android 源码框架浅析(主流程及 Java 与 JS 双边通信)

android 程序员 移动开发

OkHttp 断点上传的“基操”,算法题+JVM

android 程序员 移动开发

OOM问题原理解析(二),移动端开发技术

android 程序员 移动开发

网易云信亮相 LiveVideoStackCon 2021,解构自研大规模传输网 WE-CAN

网易云信

通信云 传输协议

Retrofit-+-RxJava-+-OkHttp-让网络请求变的简单-封装篇

android 程序员 移动开发

Router_一款单品、组件化、插件化全支持的路由框架,安卓开发面试题自定义view

android 程序员 移动开发

一站式智能化是采购数字化的大趋势

WorkPlus Lite

React Native Android混合开发实战教程,Android入门你值得拥有

android 程序员 移动开发

具有中国特色的堡垒机到底有用吗?有什么用?

行云管家

网络安全 信息安全 数据安全 堡垒机

OkHttp 断点上传的“基操”(1),完美讲解内存缓存LruCache实现原理

android 程序员 移动开发

华泰证券研究所谢春生:从全球看金融 IT 架构的变化

BoCloud博云

云计算 系统架构 金融科技

React Native 与 嵌入Android原生与Activity页面互相跳转(1)

android 程序员 移动开发

OkHttp流程分析,音视频编解码技术

android 程序员 移动开发

OKio源码分析(1)six sy007 情感导师,android面试题2019

android 程序员 移动开发

毕业总结和毕业设计

cherrycheek

Room增删改查,真香!,android编程实战pdf

android 程序员 移动开发

远程连接Windows服务器

坚果前端

云服务器 11月日更

实验室信息系统的主要功能及作用

低代码小观

企业管理 管理系统 LIMS实验室信息管理系统 信息管理系统 实验室

Okhttp的缓存机制,原理讲解

android 程序员 移动开发

python3如何安装MySQLdb库

YUKI0506

Python3 mysqldb

react-native Navigation导航器,kotlin协程使用

android 程序员 移动开发

RxJava 沉思录(三),android开发入门与实战网盘

android 程序员 移动开发

分享 | 一文了解 PG PITR 即时恢复

RadonDB开源社区

数据库 postgresql RadonDB

【等保小知识】等保与关保两者之间有啥区别?

行云管家

网络安全 等级保护 分保 关保

React Native 与 嵌入Android原生与Activity页面互相跳转

android 程序员 移动开发

数据cool谈(第2期)寻找下一代企业级数据库

数据cool谈(第2期)寻找下一代企业级数据库

为什么DevOps需要和安全相结合?-InfoQ