近20年来,软件开发人员越来越多地转向采用DevOps实践。软件开发团队越来越多地采用DevOps实践和理念,通过使用持续集成/持续交付(CI/CD)管道,成功地将产品开发和IT运维无缝地集成在一起,以更快、更高效的速度创建高质量的应用程序。
虽然采用DevOps实践可以更高效、更快速地交付软件应用程序,但它也不是没有缺点。DevOps实践主要以持续性为基础,在流水线的每个阶段都进行测试和打补丁,但在安全实践方面,往往在产品部署之前就进行漏洞检查和安全监控。
把安全放在次要位置,软件开发和技术环境就会面临更大的网络攻击和数据泄露风险。到2025年,网络犯罪的全球成本预计将达到10.5万亿美元(自2015年以来为3万亿美元),因此DevOps环境无法承受这种后果。
然而,技术环境的左移和最近DevSecOps的出现,已经通过将安全性纳入产品开发和成功部署来弥补这一巨大成本。根据Gartner®的数据,到2027年,DevSecOps实践预计将嵌入85%的产品开发团队,而到2022年,这一比例为30%。
安全已经成为全球许多开发组织的首要任务,但许多组织仍未采用固定的安全方法。对于那些希望在DevOps管道中降低风险并实践更好安全的人,Gartner建议采用左移方法来构建组织安全基础设施。
DevSecOps的采用之路可能是复杂的,虽然短期内会有一些初始设置成本,但从长远来看,企业可以看到显著的节省;特别是,据估计,数据泄露的平均成本在2020-2021年间约为424万美元。在本博客中,我们将探讨产品开发团队如何避免这种成本,以及过渡到DevSecOps的一些最佳推荐实践。
DevSecOps和Shift-Left方法
向左移的安全方法已经存在一段时间了,并且已经慢慢开始在软件开发领域兴起。就像DevOps实践在持续集成/持续集成管道上运行一样,左移通过拥抱DevSecOps实践,从开发之初的计划阶段到整个DevOps生命周期的其余阶段都将安全性嵌入其中。
传统上,安全流程通常与CI/CD流的其余部分隔离开来,在管道的最后阶段造成瓶颈,限制了敏捷性并阻碍了交付。这种安全结构也使技术环境和组织容易受到入侵,因为它只给管道末端的安全留下了空间,这意味着在开发过程的早期识别漏洞和攻击的机会错过了。
左移是技术环境对传输障碍和薄弱的安全结构的解决方案。将安全性嵌入到DevOps实践的整个生命周期中,可以避免由于后期测试和识别而导致的交付停顿。
为合规和法规留出空间
与安全性类似,在DevOps环境中,遵守合规性和监管需求往往是事后才考虑的。当组织没有牢记法规时,不仅会冒罚款和处罚的风险,而且还会错过以法规为基础创建安全计划的机会。随着攻击技术的不断发展,企业面临着越来越复杂的行业需求,随之而来的入侵风险也在不断增加。
然而,许多组织很难在同时交付软件的同时跟上监管标准的要求,这通常是因为合规性的考虑放在了DevOps管道的末端。解决这一问题的方法是从初始阶段就着手制定行业法规。组织应该在开发生命周期的每个阶段都考虑合规性和安全性,包括产品必须满足的标准化需求列表,以便在到达发布阶段之前,任何出现的漏洞或问题都可以在整个管道中得到纠正。
在开发阶段的早期执行必要的合规性和安全性评估,同时进行漏洞扫描,可以为组织节省长期时间,并为DevOps团队保留资源。
解决DevOps安全方面的技能差距
采用左移安全方法有助于培训开发人员关于最佳实践以及如何在管道的早期阶段识别漏洞。目前,DevOps环境和对安全的理解之间存在脱节,导致行业内存在很大的技能差距,因为大多数开发人员都不是网络安全专家。
安全和信任应该是每个人的责任,所以如果组织希望优先考虑和改进安全实践,就需要优先考虑开发人员培训和教育。他们可能会采用以下几种方法来做到这一点。
- 建立协作文化:虽然安全是组织中每个人的责任,但重要的是要建立一种信任、协作的文化,以促进安全的共享。开发人员必须与安全专家一起工作,以识别和纠正漏洞,以保证资产的安全。通过鼓励协作的安全文化,它建立了对潜在安全风险的意识,并促进了安全的预防方法。
- 安全教练:组织可以通过从产品团队中招募、培训和分配安全教练来改善安全文化。鼓励开发人员自愿担任安全教练职位,通过培训开发人员如何在管道的每个阶段规划安全性和合规性需求,组织可以在开发人员和IT团队之间建立一座桥梁。安全教练也可以被指派来响应问题,并鼓励开发人员和安全专家之间就这些问题进行公开的交流,而不是对漏洞置之不理。
- 在工具和集成上投资:在自动化工具和集成上投资不仅可以帮助开发人员创建无缝的工作流程和高效的环境,而且在IT团队努力弥合产品团队之间的知识差距时,它们还可以作为安全缓冲。虽然开发人员仍然在学习如何确定安全需求的优先级和识别漏洞,但使用各种工具和集成自动化安全过程可以确保组织不会因为人为错误而暴露。
在DevOps中实现安全自动化
随着新的威胁表面的出现和行业规则变得更加复杂,越来越多的组织正在寻求自动化来满足安全需求。 使用自动化平台和服务,如身份管理集成或ACME等协议,将有助于在DevSecOps团队中支持更好的安全结构,并减少漏洞的可能性。
DevSecOps团队有多种方法可以自动化他们的环境,以减轻安全管理的负担,并更容易地将其集成到管道中:
- 数字身份平台:Atlas等数字身份平台具有管理广泛身份和证书的可扩展性,包括终端用户、机器和服务器,以及支持各种协议来集成和保护多个端点,并自动化密钥管理等任务。数字身份平台通过与可信的公共CA连接并集中证书库存,取代了对内部私有证书颁发机构(CA)的需求。
- 自动证书管理:证书管理平台将手动流程自动化,包括签发、续签和吊销请求。这可以简化公钥基础设施(PKI)管理,并确保组织网络中的每个端点的安全。这种类型的集成减少了安全团队的负担,并消除了由人为错误导致的漏洞风险,如证书丢失或过期。组织机构也可以实现像ACME这样的协议来管理SSL / TLS证书,通过将客户端直接连接到CA,并消除手动与证书服务器接触或重复填写证书签名请求(CSR)的需要,从而最小化人工干预。
- 技术集成:有许多集成和协议可供组织选择或组合,以加强他们的PKI安全盔甲。与HashiCorp Vault和Venafi等集成与CA一起工作,以自动化和管理诸如密钥、资产和机密安全等任务。
自动化减少了开发流程中的摩擦,并在不牺牲安全性的情况下创建了更高效、无缝的工作流。除了支持DevSecOps团队,自动化流程还通过更快地扫描、识别和修复安全漏洞来降低安全漏洞的风险,这对于零日漏洞尤其重要。
最终的评估
在DevOps环境中,安全传统上被视为事后处理,放在管道的末端,但随着安全性的向左转移,以及DevSecOps实践和理念的不断涌现,组织和产品团队开始意识到需要整合安全方法。这在很大程度上是由于人们追求跟上不断涌现的新攻击技术和不断变化的安全市场规则。
采用左移方法的安全性在很大程度上可以归结为规划——当DevOps团队在管道的初始阶段包括安全规划和合合性评估的空间时,这就充当了一个框架,让开发人员在生命周期的后期阶段坚持并防止由于未解决的漏洞而出现停顿。
组织可以通过向产品团队、整个业务团队灌输协作责任文化,并招募安全教练为其提供支持,来确保安全问题在整个流程中得到解决。培育一个信任的开放环境可以鼓励开发人员自己处理和解决问题,并在产品中编写安全代码,而不是将问题的复合列表留给IT团队来解决或将组织暴露在风险中。
通过工具和协议实现自动化可以简化安全环境,减少人工干预和人为错误的风险,因为安全专家和开发人员之间的差距正在缩小。自动化还可以识别漏洞,保护密钥和资产,并允许重新分配时间和资源,否则将花费在繁重的手动过程中。
由于一次成功的入侵可能会给单个组织造成平均400万美元的损失,企业不能从一开始就把安全因素考虑在内。资产的损失是一回事,但随之而来的业务损失和相应的罚款可能会导致整个项目甚至是组织倒闭。相比之下,采用“左移”和“DevSecOps”实践,组织的成本更低,甚至可以通过防止管道中的延迟来加快产品部署,因此,优先考虑可以直接影响产品成功机会的安全性。
使用GlobalSign的解决方案保护您的DevOps管道
随着DevSecOps团队面临的挑战不断发展,将证书生命周期管理工具集成到管道中会带来许多好处,包括:认证,保护工具链,容器,代码和端点。
如果你准备保护你的DevOps管道并提高安全性,请立即联系我们。
Gartner,实现DevOps安全的3个基本步骤2023年3月1日,Daniel Betts等人。
GARTNER是GARTNER, Inc.和/或其关联公司在美国和国际上的注册商标和服务标志,并经许可在此使用。版权所有。
