文档章节

DevSecOps 实施篇!系列(二)

OneAPM蓝海讯通
 OneAPM蓝海讯通
发布于 2016/03/14 17:39
字数 2199
阅读 37
收藏 1

想在自己公司建立 DevSecOps 计划?没问题,企业规模无论大小,都可轻松实现。这里有5个基本的 DevSecOps 原则可以帮助你启动。当然,如果你对 DevSecOps 还不太熟悉,不妨先看看第一篇文章《什么是 DevSecOps?系列(一)》。

以客户为中心

以客户为中心,可以协调业务与安全之间的关系,从而确保制定准确、完备的安全策略,并让企业的所有成员都能够支持和实施。但是,要把安全和业务产出结合起来,有时其困难程度犹如要把油和醋混合起来。安全专家使劲了浑身解数力图攻破软件,往往还是很难将这些安全信息和客户以及最终的业务产出关联起来。

实际上,安全的复杂性,以及安全专家和业务专家在工作重心方面存在的巨大差异,会导致决策出现重大分歧。安全专家考虑的是如何保护企业资产的安全,而业务专家关注的是如何冒险满足客户的需求以增加收入。这些原则性的差异会导致双方产生极大的摩擦。

抛开这些分歧,秉持以客户为中心的理念,可以促使安全专家采取更好的安全策略,同时也可以减少复杂性造成的风险控制障碍。此外,安全计划及产出可以适应客户需求和业务产出,其中的复杂性也可以通过自动化和报告进行展示。

最终,支持业务产出的必要控制应当简单易懂,让安全实现成为人人都可以做的事情。

扩展,扩展,扩展

除了以客户为中心,安全扩展也是必要的。如果客户需要快速创新业务来解决问题,而安全专家只考虑自己的安全防护功能,这么做显然不恰当。相反地,他们应当带领安全团队创建相同的工作模式和条件,使安全方案在支持 DevOps 和持续创新之余还要与业务产出相协调。随着连续部署、精益创业、敏捷型、DevOps 和其他创新驱动法成为常态,安全的进一步发展也迫在眉睫。

毋庸置疑,安全专家必须具备精益生产的意识,通过要求软件定义平台帮助收集、解释和报告有关业务资源与环境的安全分析。

实现安全扩展,其实就是通过减少人工处理量以及实现低风险产出需耗费的时间量,达到解决问题的目的。但是,对于安全专家而言,要使安全策略透明化、简单化,以便所有人都能够参与实施,这并不是件容易的事情。不过,努力之下,他们还是有可能改进和发展自动化,允许通过可以扩展安全的自助服务进行风险决策。

「以安全为准则」具有可迁移、共享和完善等附加优势,因为它不是一个读取一次就被搁置和遗忘的文件,而是支持业务产出的整个系统的有机组成部分。

客观标准

你是否曾有过这样的经历:安全报告里有成千上万条发现,有的甚至还看不明白,自己却要根据这个报告快速做出决策。我想任何人收到这样混乱不堪的安全报告,都会觉得头痛。实际上,为快速决策提供安全信息正在成为一门艺术,而且通过引入客观的标准和成熟的方法,该艺术形式得到了极大的改善。

客观标准可以帮助业务专家明白要在什么时候、以什么样的方式和顺序改善业务资源的安全情况。实际上我们可以认为,安全专家的唯一目标就是为业务伙伴提供可行的修复建议。建立客观标准来衡量企业资产安全无疑是最理想的方式,可以满足业务伙伴为了快速做出决策对可行性建议的需求。

有时,相比于策略,客观标准更为重要,因为它能促进企业内形成成熟的控制机制,使风险决策有据可依。

创建安全记分卡是制定 DevSecOps 计划的基本要素,因为它不仅可以为业务伙伴提供指导,而且还可以为持续监测企业资产安全的安全团队提供方向。根据对象的不同,记分卡可以通过检测仪器和记录结果为决策行为创设情景。

举个例子,如果面向的对象是开发部,使用的度量指标和提供的报告可能更倾向于开发方面,比如每行代码中存在的安全漏洞数量。反之,要是面向运营部,使用的度量指标可以是基础设施和配置方面存在的缺陷和漏洞。不过整体而言,只要创建记分卡便有助于各个团队排除干扰和分歧并做出快速、精准的决策。

主动搜寻

想象一下,如果你的公司能够先于攻击者发现安全漏洞并在遭受攻击前将其修复,可以免掉多少损失?主动搜寻并测试业务资源的安全性,有助于及时发现可能会被对手轻易利用的弱点和缺陷。采取主动策略保护业务资源的安全,也有助于更好地衡量与扩展,因为在业务受损前发现重要的攻击面需要自动化和大量的数据。

但是,仅凭一个好的事件响应进程来实现这个需求是不够的,因为在外部发起尝试性攻击时才发现漏洞,已经为时太晚。

建立主动搜寻的最佳方式是实现构建自动化,利用自己的信息确定安全缺陷,防止漏洞成为攻击目标。另外,这类功能还可以利用攻击者目前最常使用的被动输入来加强自身的防御策略。从根本上来说,这类功能不仅可以巩固公司技术环境方面的侦察,而且它还允许内联测试与开发,可以在整个业务产出的支持系统中优先执行修复措施。

换句话说,加强内部的安全测试,主动搜寻安全漏洞,对企业很有帮助,因为修复建议可立即执行,而且还实现了与业务流程的整合。

持续检测与响应

最后,除了牢记以上四个原则,还要确保有连续检测和响应来完成信息发现和实时攻击检测。由于监管流程和基于纸质的控制缺少攻击分析,DevSecOps 需要持续检测、对照、关联和响应来弥补该欠缺。

简而言之,持续检测和响应至关重要,因为它通过监测和分析外部对公司目标发起的尝试性攻击,可以迅速击退事件。

这似乎和近十年来所讲的检测和响应没什么区别,但实际并非如此。虽然大多数公司已有检测和响应实践,但是 DevSecOps 需要更连续的方式来为自动化进程提供反馈,从而加快内部团队获知外部发现和攻击企图的速度。

更重要的是,安全科学的实现意味着企业可以使用实时信息识别各类异常事件并做出响应,以用于支持业务产出所需的决策和防御控制预测。

本文由 DevSecOps.org 首发,系 OneASP 工程师翻译。如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。

本文转自 OneAPM 官方博客

© 著作权归作者所有

OneAPM蓝海讯通
粉丝 94
博文 631
码字总数 1266889
作品 0
海淀
私信 提问
什么是 DevSecOps?系列(一)

什么是 DevSecOps? 「DevSecOps」 的作用和意义建立在「每个人都对安全负责」的理念之上,其目标是在不影响安全需求的情况下快速的执行安全决策,将决策传递至拥有最高级别环境信息的人员。...

OneAPM蓝海讯通
2016/03/03
38
0
基于容器生态扩张的DevSecOps为啥引关注?

DevSecOps可能不是一个优雅的术语,但其结果是有吸引力的: 在开发的早期带来更强大的安全性。DevOps最终是要建立更好的软件,也意味着更安全的软件。 像任何IT术语一样,DevSecOps--由DevOp...

数人云
2018/02/08
17
0
为什么 DevSecOps 对 IT 领导来说如此重要

DevSecOps 也许不是一个优雅的词汇,但是其结果很吸引人:更强的安全、提前出现在开发周期中。来看看一个 IT 领导与 Meltdown 的拼搏。 如果 DevOps 最终是关于创造更好的软件,那也就意味着...

37%
2018/07/29
0
0
害怕运维做到30岁还一事无成?你应该来这里看看

运维工作涉及到的技术可以说十分繁杂,在这个技术高速发展的时代,如果你不紧跟时代的步伐,那么时代就会抛弃你。 我们经常会听到一些言论,比如: 这些言论是危言耸听吗?这个问题仁者见仁智...

ZVAyIVqt0UFji
2018/10/29
0
0
DevSecOps简介(二)

越来越多的组织机构开始采取 [DevOps][1] 实践,作为呼应,本文将概括强调很多人认为这一实践缺失的部分:[安全][2]。随着 NV (网络虚拟化) 和 NFV (网络功能虚拟化)的使用率逐步攀升,在开发...

OneAPM蓝海讯通
2016/05/04
13
0

没有更多内容

加载失败,请刷新页面

加载更多

聊聊nacos的LocalConfigInfoProcessor

序 本文主要研究一下nacos的LocalConfigInfoProcessor LocalConfigInfoProcessor nacos-1.1.3/client/src/main/java/com/alibaba/nacos/client/config/impl/LocalConfigInfoProcessor.java p......

go4it
昨天
2
0
前端技术之:webpack热模块替换(HMR)

第一步:安装HMR中间件: npm install --save-dev webpack-hot-middleware 第二步:webpack配置中引入webpack对象 const webpack = require('webpack’); 第三步:增加devServer配置项: ho......

popgis
昨天
2
0
死磕 java线程系列之线程池深入解析——体系结构

(手机横屏看源码更方便) 注:java源码分析部分如无特殊说明均基于 java8 版本。 简介 Java的线程池是块硬骨头,对线程池的源码做深入研究不仅能提高对Java整个并发编程的理解,也能提高自己...

彤哥读源码
昨天
3
0
虚函数表 图解

虚函数表 图解 p504

天王盖地虎626
昨天
2
0
java反射

学习目标  什么是反射  反射运行原理  了解反射机制的相关类  获取 class 对象的 3 种方式  通过反射获取构造方法并使用  通过反射获取成员变量并调用  通过反射获取成员方法并...

流川偑
昨天
3
2

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部