原文请参见:https://techbeacon.com/devsecops-9-ways-devops-automation-bolster-security-compliance
信息安全和法规遵从性是全球商业的关键, 特别是考虑到过去的数据违规和迫在眉睫的网络安全威胁的例子。然而, 长期以来, 信息安全一直被认为是使事情变慢的群体, 不认可 DevOps 的努力, 通常需要一种更保守的方法作为减轻风险的手段。传统上, DevOps 被认为是信息安全团队的风险, 随着被视为安全和监管威胁的软件发布的增加, (顺便说一下, 往往需要职责的分离)。
尽管有一些最初的阻力, 采取了 DevOps 的企业已经显示了一致性,DevOps 实践实际上减轻潜在的安全问题, 发现问题更快, 并解决威胁更迅速。这使得自动化和 DevOps 实践的采用速度更快。DevOps 越来越多地被视为安全层, 它使安全、法规遵从性和审计要求得以实施和实施, 使 DevOps 成为一种资源, 而不是威胁。
作为一种哲学, DevOps 的重点是创建一个文化和环境, 其中 Dev, QA, Ops, 业务本身和组织中的其他利益相关者协同工作, 朝着一个共同的目标。我们现在看到 DevOps 发展到 DevSecOps, 信息安全随着 DevOps 倡议和安全需求,正成为一个关键的 DevOps 实践和益处。
DevOps 为更好的安全提供了一个巨大的机会。DevOps 中的许多实践, 如自动化、强调测试、快速反馈循环、改进的可见性、协作、一致的发布实践等, 都是将安全和审计功能集成为一个内置 DevOps 过程的组成部分。
DevOps 自动化跨越整个 Pipeline, 从代码开发和测试到基础结构配置和部署。当正确完成时, DevOps 使您能够:
(1).安全从头开始。安全性可以集成到您的 DevOps 过程的早期阶段, 而不是在软件交付 Pipelibe 的末尾进行事后处理。它成为质量要求, 类似于作为软件交付过程的一部分运行的其他测试。正如 CI 能够通过加速测试和反馈循环来发现错误, 并提高软件质量, DevOps 过程可以包含自动化的安全测试和法规遵从性。
(2).自动安全。随着您的测试和过程的自动化程度越来越高, 由于人为错误而导致安全缺陷的风险降低, 您的测试效率更高, 您可以覆盖更多的面, 并且您的过程更加一致和可预测。因此, 如果有什么事情发生, 它更容易定位和修复。
(3).始终安全。通过使用跨不同功能共享的工具 (特别是使用端到端的 DevOps 自动化平台,跨越开发、测试、ops 和安全), 组织可以获得对整个系统开发生命周期的可见性和控制循环, 使自动化 Pipeline 成为一个用于测试、报告和解决安全问题的闭环过程。
(4).让每个人都在同一页面和 Pipeline。通过将安全工具和测试集成为开发人员和 Ops 用于部署其更新的 Pipeline 的一部分, 信息安全成为发布 Pipeline 的关键组件, 并成为整个过程的一个推动因素 (而不是端的指向)。
(5).快速修复。不幸的是, 偶尔的安全缺口或漏洞可能会出现, 要求您迅速采取行动解决问题 (例如 Heartbleed)。DevOps 加快了您的前置时间, 以便您能够更快地开发、测试和部署您的补丁/更新。此外, 一些 DevOps 平台提供细致的跟踪到您的所有应用程序、环境和 Pipeline 阶段的状态, 极大地简化了您的响应, 并在您需要发布更新时加快速度。当您确切地知道应用程序的哪个版本及其堆栈中的所有组件在哪个环境中部署时, 您可以快速查明需要更新的应用程序的组件, 确定需要注意的实例, 并快速通过触发适当的工作流, 在更快、更一致和可重复的部署过程中推出更新。
(6).在确保监管的同时使用开发人员。DevOps 强调在流水线上简化流程, 以获得一致的开发、测试和发布实践。您的 DevOps 工具和自动化可以配置为使开发人员能够自给自足并完成操作, 同时自动确保访问控制和法规遵从性。例如, 作为对日益增长的 IT 的一种解决方案, 我们看到许多组织为开发/测试建立了内部 DevOps 服务, 其中有共享存储库、工作流、部署过程等。这使得工程师可以按需访问基础结构 (包括生产), 同时自动执行访问控制、安全措施、审批和配置参数, 以避免配置漂移或不一致的过程。此外, 它确保所有环境中的所有实例 (无论是在开发、QA 还是生产中) 都被识别和跟踪, 并且它们在预设的准则中运行, 并且可以由它进行监视和管理。
(7).确保代码和环境的安全。通过创建一致、可跟踪且可重复的管理系统, 您可以确保您的环境是可重现的和可跟踪的, 并且您知道是谁访问了它以及何时。
(8).启用一键式法规报告。自动化进程带来的额外好处是一致性和可重复性, 具有类似操作和测试的可预知结果, 并且它们可以自动记录和记录。由于 DevOps 跨越您的整个 Pipeline, 它可以提供从代码更改到发布的可追溯性。如果你有一个 DevOps 的可依赖系统,审计变得容易得多。当您自动化事务, 从您的构建, 测试周期, 集成周期, 部署, 和发布过程, 您的 DevOps 自动化平台可以访问大量的信息, 是自动记录且非常详细。实际上, 这将成为您的审核跟踪、安全日志和符合性报告, 这些都是自动生成的, 无需手动干预或花费数小时回溯您的流程和操作以生成报告。
(9).DevSecOps 使组织能够在不危及稳定性和监管的情况下实现速度。应将安全和法规控制作为 DevOps 过程的一个组成部分来进行, 以管理代码开发的全过程,直生产环境。通过实施从一开始就集成安全实践的 DevOps 进程, 您将为您的应用程序和环境创建一个有效且可行的安全层, 作为一个坚实的基础来确保长期运行中的安全性和法规遵从性, 在更加精简、高效和主动的方式。
想了解更多关于如何获得安全和 DevOps 的权利?
在我们最近的一次连续讨论播客中, 我有幸与两位业界老兵交谈, 其中包括 James DeLuccia, 他写了IT 法规和控制: 实施的最佳实践, 它解释了如何将安全性融合到 DevOps 过程中以及如何 DevOps 和自动化可以帮助您通过您的下一次审计。