Devsecops是联合对立力量的关键
根据Cyber Security公司Venafi的高级系统工程师的账单Madell的说法,将应用程序开发和IT行动组合形成Devops团队的实践越来越受到商业领导者的流行,而是与许多安全团队不受欢迎。
“Devops允许企业比以往更快地代码和部署,让他们在竞争中获得较快的发布,”他说。
最近由全球技术服务委托的搜索委托,ProviderClanet发现,88%的英国企业已采用Devops方法或计划在未来几年内采纳一个。
然而,尽管Devops的优势说,Madell说,安全团队经常认为它是“危险地快速”,而且在不妥善关注安全的情况下运营。“另一方面,Devops认为安全性作为一种负担,以减缓它们并阻止他们跟上数字经济的需求和更广泛的事业,”他说。
马德尔说,产品和服务更快地开发产品和服务的业务益处意味着Devops已成为一个成熟而增长的趋势。“Cisos和Cios需要找到一种方法来弥合Devops和安全性之间的逻辑,并且因为减速DevOps不是一个选择,Devsecops是唯一的选择,”他说。
他说,DevSecops将安全性与Devops一起加速到与Devops相同的速度,允许公司保留敏捷性,同时删除漏洞。“DevSecops对于寻求快速发布新产品和服务而不增加安全风险的公司至关重要。”
马德尔说,在安全和Devops之间的紧张关系中,他们有不同的驱动因素和风险。
Devops团队的推动需要缩短开发周期,以降低对市场慢的风险而不是竞争,结果表明,具有高性能Devops团队的公司的部署公司比竞争对手更快,恢复时间更快12倍当问题出现时,更有可能超过其盈利能力和生产力目标。
另一方面,安全团队专注于将企业免受内部和外部威胁的安全。安全团队的首要任务是确保没有人能够获得未经授权的访问或提供恶意软件有效载荷。
“虽然Devops本质上是为了尽可能多的障碍而导致尽可能多的障碍,因为每一个额外的过程都变得危险,但安全性更加谨慎,并且希望花时间严格测试所有新的服务和应用,以确保没有缺点马德尔说,对组织的风险构成。““这让他们直接反对Devops,由此产生的文化冲突可能会产生严重的摩擦力。
“两支球队都以公司的最佳利益行事,而是通过朝着相反的方向拉动,两侧的风险增加。”
在这种情况下,Madell说,研究表明,只有三分之一(36%)Devops团队表示安全性参与了新技术的设计和部署。“这是最糟糕的结果,因为现在,Devops团队不仅从事不安全的实践,而且安全就没有关于真正发生的事情,以便试图减轻潜在的威胁,”他说。
马德尔说,这是一个明确的例子是机器身份。A10网络的研究发现,Devops团队定期参与不安全的实践,例如使用自签名证书或在代码进入生产时未能替换测试证书。
“这些误操作会产生重大的安全风险,”他说。“如果黑客发现这些弱点,他们可以使用它们来使用恶意软件来渗透组织,执行中间人的[MITM]攻击或抵抗敏感数据。”
这种安全问题产生了Devops团队在压力下,尽快获得新的释放,因此没有时间在Madell每次都会通过证书颁发机构通过征用过程。
“然而,由于这些遗漏的漏洞创造了,安全需要解决它而不会放慢DevOps,”他说。“安全需要从拒绝接受Devops方法来查找可以安全地完成Devops的方法。”
根据Madell的说法,前进的方式是通过将安全进程带到同样的速度并涉及Devops进程的安全性,使得Devops能够以业务需求的步伐移动。
“这使对话远离对抗,并在寻找以速度保持安全的方式方面的合作,”他说。“这是自动化的关键。自动化可以满足DevOps和安全性的需求,因为它很快,可靠且易于验证。“
Madell表示,通过自动化在诸如测试和部署之类的关键领域,如测试和部署等关键领域,安全专业人员释放以持续改进。
“自动化意味着Devops删除障碍,因为它们并未放慢速度,而安全性可以相信始终遵循关键过程,”他添加。
在机器身份的背景下,Madell表示,自动化证书配置过程消除了可能发生安全错误的条件。“一旦代码准备进入生产,就会要求并应用正确的证书,而不需要任何繁荣的开发人员,”他说。
“因此,我们在不放缓Devops的管道上实现安全过程。Devops可以自由地专注于迅速编码和交付,而安全性避免了减慢的Devops,因为他们知道安全的程序是一致的和自动遵循的。“
现在,Devops已经成为主流,Madell表示,公司尽快了解和拥抱Devsecops至关重要。“由于安全风险,他们不应该害怕Devops - 这是编码持续发展和部署的未来 - 那些未能采用的人将被留下,”他说。
“但是,如果没有安全监督和投入,Devops团队将在急忙部署时释放一个部落的漏洞。唯一的解决方案是企业将安全性带到Devops的速度与Devops相同,并在文化和技术上获得两个和谐。