分析师表示,Devsecops不限于编码
根据Alexei Balaganski,KuppingerCole的领导分析师Alexei Balaganski的说法,安全领导者需要了解Devops和Security或Devsecops,或Devsecops,或Devsecops不会以软件代码结束。
“它将超越编码流程延伸到数据安全操作中,该操作旨在确保整个开发过程中的数据安全性,”他每周告诉计算机。
Balaganski认为,为了提高软件应用程序的安全性,需要远离业务驱动,IT驱动和可编程驱动的软件开发来转移到安全和软件开发人员驱动的软件。
“我们常常看到业务对开发团队的需求和制定不承担安全性的交付截止日期,”他说。
安全性也需要从教育开始,说巴拉曼斯基和技术甚至考虑之前,安全文化必须整理整个组织或企业,员工及其业务流程。
“当涉及到安全的技术方面时,Devsecops正在受到普及的方式,作为一种让所有人的方式,包括最懒惰的开发人员和最疏忽员工,拥抱安全性,而不是将其视为对他们工作的障碍,”他说。
专注于Devsecops内的数据安全操作是在组织中确保更好的数据安全性方面的新兴趋势之一。
“一些组织开始了解应用程序安全性不仅仅是关于编码,而且还要涉及应用程序如何处理数据以及开发人员如何处理数据,”Balaganski说。
这意味着用于测试应用程序原型的数据必须符合数据保护规范。“你不能只给出每个开发人员在应用程序的应用程序的副本上,”他说。
与此同时,巴拉肯斯基表示,没有开发人员将等待数据保护团队的回复,以请求测试数据,并且可能窃取生产数据库的副本以节省时间。
“因此,数据安全操作方法是将数据传递和数据匿名化进程集成到开发过程中,”他说。
这样做的一种方法是使用数据虚拟化技术,使得敏感数据在安全的数据中心中仍然是现有的,但是需要测试数据的开发人员在没有任何副本的情况下访问有限的时间段以获得有限的时间段,以进行匿名和屏蔽数据,而无需任何副本正在制作的数据库。
“这样的技术存在以有效的方式将开发和安全性结合起来,”巴拉格兰斯基说。“但组织的挑战正在获得安全,发展和数据保护聚集在一起采用和使用该技术。
“再次,它恢复了教育和促进安全意识。正如从传统软件开发到Devops的范式转变一样,数据安全操作即将到来,作为下一个潜在的范式转变,特别是随着欧盟的一般数据保护规则等数据保护法规,数据成为更敏感的问题[gdpr]。“
Balaganski表示,安全领导人应该意识到安全领导人应该意识到用于部署和运行申请的另一个有趣趋势。
“他们正在开发作为运行应用程序的平台,以便在基础设施维护方面减少开发人员的工作量,并且有形业务需要支持包含内部部署和基于云的应用程序的混合环境,但需要从数据中获取特殊护理安全观点,“他说。
Balaganski表示,最近出现问题的一个例子是俄罗斯航空公司Aeroflot,它向公众互联网开放了用于部署容器的Docker注册表服务器,并包含用于运行其网站的所有源代码。
“Aeroflot是俄罗斯最大的公司中最大的行业之一,因此它在将其网站作为一个主要的客户面向平台中保护了很多,”他说。“但他们完全忘了确保他们的发展环境,使潜在的攻击者能够探讨他们可以利用的脆弱性,这是一个经常被忽视的地区的典型例子,其中安全性和开发必须满足,但经常没有。”
Balaganski表示,重点是码头的业务和开发利益,用于建造,分发和运行集装箱和Kubernetes集装路里的系统系统。“但容器安全是必须迫切地解决的一个区域,”他补充道。
“公司提供完全托管的集装箱平台,但您不会听到这些供应商的容器安全性。我没有看到任何开箱解决方案,但必须得到解决。“
Balaganski表示,似乎受到关注的一个区域是应用程序接口(API)安全性。
“近期三年半前,虽然有几十个API管理供应商,但只有一个公司声称成为API安全供应商的公司,”他说。“但这在过去两年半的变化,现在至少有五个,这是一个积极的发展。”
但是,安全领导者需要更多地关注主题。根据巴拉曼斯基的说法,即使大部分组织的网站是基于API的,相对较少看到对API安全性的需要,而是依赖于传统的Web应用程序防火墙(WAF)。
“这是一个问题,因为那里有这么多的API特定威胁,API正在成为最常用的客户面向客户的渠道和主要收入来源,”他说。“所以如果API受到损害,那么它不仅意味着停机时间,它也可能导致大规模的数据违规和数据保护合规性违规行为。”
在这方面,布拉格森斯说,安全领导人需要认识到,只有在WAF上依赖的日子已经结束,并且他们需要通过投资API安全性,因为网站变得越来越多为中心,特别是依赖的公司来遵循银行的示例在API上,例如Netflix和Uber。
Balaganski表示,通过MicroServices架构的使用增加,容器安全性和API安全性的重要性强调。
“微服务基本上沸腾到容器加API,”他说。“容器是基础设施,API是面向外部的接口,因此微服务安全性是关于集装箱和API的关注。”
安全领导者需要采取一种方法,确保Balaganski表示数据的一致性,可用性,遵守和安全性。
“重要的是要专注于孤立的容器,API,微服务和数据,而是将所有这些都包含在安全策略中,以及他们的所有相互依赖性和互连,”他说。
Balaganski将在题为容器,微服务,API的会话中更详细地讨论这些主题:11月12日至14日,柏林网络安全领导峰会2018年欧洲的最新Devops安全趋势。