信息化觀察網(wǎng)

2020 年，“敏捷安全” 將解決數(shù)字化轉(zhuǎn)型中困擾企業(yè)多年的安全問(wèn)題。

隨著企業(yè)改變其技術(shù)基礎(chǔ)設(shè)施和軟件交付模式，以保持市場(chǎng)領(lǐng)先優(yōu)勢(shì)， IT 交付領(lǐng)域正在經(jīng)歷巨大的變化。這推動(dòng)了 DevOps 實(shí)踐、云原生技術(shù)、容器、微服務(wù)的迅速采用，以及對(duì) API 和第三方代碼的廣泛依賴(lài)。

這些變化反過(guò)來(lái)又模糊了基礎(chǔ)設(shè)施、代碼和 IT 角色的界限，所有這些變化都在徹底顛覆當(dāng)今的企業(yè)信息安全防御體系。

但對(duì)于那些愿意保持靈活性的安全團(tuán)隊(duì)來(lái)說(shuō)，這也為最終解決困擾組織多年的安全問(wèn)題提供了歷史性機(jī)會(huì)。

RSA 總裁 Rohit Ghai表示：對(duì)云本地應(yīng)用程序的需求以及廣泛采用DevOps來(lái)推動(dòng)數(shù)字轉(zhuǎn)型，無(wú)疑將在 2020 年 “加速脆弱性風(fēng)險(xiǎn)”。但同時(shí)，他認(rèn)為：能適應(yīng) DevSecOps 模式，將安全性納入到軟件管道中，同時(shí)提高自動(dòng)化程度的安全團(tuán)隊(duì)，將在軟件安全和安全操作方面帶來(lái)巨大的進(jìn)步。

這將使?jié)B透測(cè)試和代碼分析能夠在開(kāi)發(fā)生命周期的早期介入，并將網(wǎng)絡(luò)彈性設(shè)計(jì)到基礎(chǔ)設(shè)施的結(jié)構(gòu)中，從而減少攻擊面。

為了實(shí)現(xiàn)這一目標(biāo)，安全和 DevOps 專(zhuān)家認(rèn)為 2020 年企業(yè)需要牢記以下這六大目標(biāo)：

最大限度的自動(dòng)化

隨著組織著眼于將應(yīng)用程序安全性 “左” 移到軟件交付管道中——構(gòu)建安全性需求并檢查到 “完成” 的定義中——許多組織已經(jīng)開(kāi)始實(shí)現(xiàn) DevSecOps 成熟度的第一階段。但是，容器、無(wú)服務(wù)器技術(shù)的采用，以及開(kāi)發(fā)和運(yùn)營(yíng)自動(dòng)化程度的提高，又制造了新的安全熱點(diǎn)，必須加以解決。

Lacework的研究主管James Condon認(rèn)為，解決之道與軟件開(kāi)發(fā)加速類(lèi)似：自動(dòng)化。

面對(duì)不斷涌現(xiàn)的新興安全領(lǐng)域，安全團(tuán)隊(duì)如何跟上步伐？

他認(rèn)為，DevSecOps 組織不僅必須需要關(guān)注測(cè)試自動(dòng)化，而且還必須關(guān)注自動(dòng)化安全策略的執(zhí)行、補(bǔ)救和響應(yīng)。而那些希望將自動(dòng)化提升到下一個(gè)層次的安全團(tuán)隊(duì)可以從他們的開(kāi)發(fā)人員同事那里學(xué)習(xí)。

自動(dòng)化讓開(kāi)發(fā)工作效率倍增，對(duì)安全也是如此。今年，我們將越來(lái)越多地看到人們利用自動(dòng)化解決困難而復(fù)雜的安全問(wèn)題，從部署前的早期實(shí)施擴(kuò)展到基礎(chǔ)設(shè)施的持續(xù)安全，再到運(yùn)行時(shí)的自動(dòng)事件響應(yīng)。

API安全是關(guān)鍵“抓手”

根據(jù) Akamai 的數(shù)據(jù)，目前約 83% 的 Web 流量是 API 流量。你可以把這歸結(jié)為 DevOps 的擁護(hù)者狂熱地采用微服務(wù)架構(gòu)，他們明白當(dāng)你用可互換的、可重復(fù)的組件創(chuàng)建軟件時(shí)，構(gòu)建、修復(fù)和迭代應(yīng)用程序要容易得多，同時(shí)又不會(huì)導(dǎo)致不可挽回地破壞。架構(gòu)轉(zhuǎn)變的很大一部分依賴(lài)于通過(guò) API 將所有東西粘合在一起。

這使得軟件交付更迅速、更具彈性，但也帶來(lái)了新的安全問(wèn)題。

42Crunch 云平臺(tái)副總裁德米特里·索特尼科夫 (Dmitry Sotnikov) 說(shuō)：

過(guò)去在單一應(yīng)用程序世界中，應(yīng)用程序組件之間的內(nèi)部調(diào)用通常是通過(guò)公共網(wǎng)絡(luò)進(jìn)行的 API 調(diào)用，容易受到攻擊，新的微服務(wù)的快速部署大大擴(kuò)展了軟件攻擊面。這也是一個(gè)巨大的挑戰(zhàn)，因?yàn)橐患夜緝?nèi)數(shù)百（甚至數(shù)千）個(gè) API 的快速敏捷迭代，使得安全團(tuán)隊(duì)無(wú)法在所有這些 API 中手動(dòng)控制和實(shí)施安全策略和最佳實(shí)踐。

這將使安全團(tuán)隊(duì)回到自動(dòng)化目標(biāo)上來(lái)，以便更好地處理 API 安全——包括發(fā)現(xiàn)、測(cè)試和修復(fù)代碼和配置中的漏洞。

以“代碼化政策”獲取巨大安全收益

在 DevOps 世界中，最大的成果通常是通過(guò) “一切都是代碼” 的方法實(shí)現(xiàn)的，這種方法使得向上和向下構(gòu)建可靠的、可重復(fù)的基礎(chǔ)架構(gòu)組件變得更加容易。Styra 的首席技術(shù)官兼聯(lián)合創(chuàng)始人蒂姆?辛里奇斯 (Tim Hinrichs) 表示，在未來(lái)，出于安全和合規(guī)目的，這可能是一個(gè)巨大的利好，但現(xiàn)在，DevOps 與安全團(tuán)隊(duì)之間存在著巨大的差距。

當(dāng)審計(jì)的時(shí)候，情況尤其如此；審計(jì)人員通常必須在容器化的環(huán)境中手動(dòng)完成安全實(shí)踐。

Hinrichs 認(rèn)為，團(tuán)隊(duì)?wèi)?yīng)該尋求采用基于策略的控制，這些控制以代碼格式的方式表現(xiàn)出來(lái)，以幫助 “消除手動(dòng)代碼審查，減輕合規(guī)性工作，并消除流程瓶頸”。

Akamai 的高級(jí)產(chǎn)品經(jīng)理 Sid Phadkar 也表示：許多組織將直接在代碼中構(gòu)建安全策略，以幫助處理 GDPR 等法規(guī)對(duì)其提出的重大合規(guī)要求。

DevOps 工具的數(shù)量將會(huì)增加，這些工具能夠在信息安全團(tuán)隊(duì)中自動(dòng)化更多與法規(guī)遵從性相關(guān)的任務(wù)，從而將安全和合規(guī)措施納入日常的 CI 工作流中。

Neuverector 產(chǎn)品副總裁 Glen Kosaka 說(shuō)，這不僅對(duì)合規(guī)有利，而且總體上也可以簡(jiǎn)化安全自動(dòng)化和容器編排，并解釋說(shuō)，DevSecOps 團(tuán)隊(duì)?wèi)?yīng)該通過(guò) YAML 文件為所有工作負(fù)載部署和設(shè)置安全策略。

安全 ‘政策即代碼’——總的來(lái)說(shuō)，更容易實(shí)現(xiàn)安全自動(dòng)化——將改變 DevSecOps 團(tuán)隊(duì)在 2020 年處理容器安全的方式。

Kosaka 還預(yù)言，這種更高效和自動(dòng)化的安全集成過(guò)程的演變將是明年 DevOps 特別受歡迎的熱點(diǎn)。

將DevOps模式推向安全標(biāo)準(zhǔn)

隨著 DevOps 團(tuán)隊(duì)的開(kāi)發(fā)和運(yùn)營(yíng)集成更加緊密，隨著開(kāi)發(fā)人員全面重構(gòu)基礎(chǔ)設(shè)施，隨著自動(dòng)化將更多的權(quán)力交給軟件交付團(tuán)隊(duì)，孤島被打碎，交付速度和 IT 部門(mén)內(nèi)的敏捷性得到極大提升。但與此同時(shí)，他們也打破了審計(jì)師們要求的許多重要職責(zé)的藩籬。

Duo security（現(xiàn)屬于Cisco）助理 CISO、RSA 會(huì)議咨詢(xún)委員會(huì)成員 Wendy Nather 說(shuō)：

領(lǐng)先科技公司的可靠、可重復(fù)的安全流程和模式會(huì)在工作組中分享經(jīng)驗(yàn)，而這些實(shí)踐將合并成更為嚴(yán)格的標(biāo)準(zhǔn)。

那些希望在 DevSecOps 團(tuán)隊(duì)中建立標(biāo)準(zhǔn)和框架的安全領(lǐng)導(dǎo)人應(yīng)該密切關(guān)注這種標(biāo)準(zhǔn)化的社區(qū)工作——積極為社區(qū)作出貢獻(xiàn)，跟蹤最新發(fā)展情況，以便進(jìn)行內(nèi)部改進(jìn)。

處理好Ops可見(jiàn)性提升帶來(lái)的隱私問(wèn)題

在 DevOps 時(shí)代開(kāi)展 IT 運(yùn)營(yíng)的一個(gè)關(guān)鍵原則是對(duì)軟件和基礎(chǔ)設(shè)施進(jìn)行高度測(cè)試，以提高可靠性并改進(jìn)實(shí)踐。運(yùn)營(yíng)團(tuán)隊(duì)正在向 AI Ops 實(shí)踐邁進(jìn)，AIOps 實(shí)踐強(qiáng)調(diào)盡可能多地收集 IT 數(shù)據(jù)，并使用機(jī)器學(xué)習(xí)和 AI 算法來(lái)處理所有事情，以便對(duì)潛在的性能問(wèn)題做出更靈敏的響應(yīng)和預(yù)測(cè)。這確實(shí)有利于提高系統(tǒng)正常運(yùn)行時(shí)間比例，但從隱私角度來(lái)看，隨著 AIops 從數(shù)據(jù)中心轉(zhuǎn)移到邊緣，這可能會(huì)產(chǎn)生新的隱私問(wèn)題。

OpsRamp 的機(jī)器學(xué)習(xí)架構(gòu)師 Jiayi Hoffman 解釋說(shuō)：

隨著人工智能在邊緣的發(fā)展，公司更容易監(jiān)控臺(tái)式機(jī)、平板電腦和其他終端用戶(hù)設(shè)備。AIOps 表面上可以看到員工在其設(shè)備上所做的一切。考慮到工作和個(gè)人時(shí)間之間的界限是模糊的，這意味著有可能獲得個(gè)人銀行賬戶(hù)或醫(yī)療掛號(hào)信息。

Hoffman 說(shuō)，未來(lái)一年，安全部門(mén)的領(lǐng)導(dǎo)應(yīng)該幫助他們的CIO和CTO與人力資源和法律部門(mén)合作，“在企業(yè)穩(wěn)定監(jiān)控設(shè)備和保護(hù)員工個(gè)人隱私之間取得正確的平衡點(diǎn)。”。

制定安全培訓(xùn)計(jì)劃

安全團(tuán)隊(duì)根本就沒(méi)有足夠的人手為應(yīng)用開(kāi)發(fā)的每個(gè)環(huán)節(jié)都派駐一個(gè)安全仲裁者。Coveros 首席技術(shù)官湯姆斯蒂姆 (Tom Stiehm) 表示：當(dāng)考慮 “左移” 時(shí)，核心目標(biāo)是讓安全成為每個(gè)人的責(zé)任，而不僅僅是安全部門(mén)的職責(zé)。他說(shuō)，最好的組織往往遵循 100-10-1 的比例，因此每 100 名開(kāi)發(fā)人員中就有 10 名 DevOps 專(zhuān)業(yè)人員和一名應(yīng)用程序安全專(zhuān)業(yè)人員。

Stiehm 隨后又表示：即使是這樣的比例（可以說(shuō)是樂(lè)觀的），可能也沒(méi)有足夠的時(shí)間完成所有工作。

聰明的 DevSecOps 安全專(zhuān)家意識(shí)到，那些有限應(yīng)用安全專(zhuān)家應(yīng)該扮演培訓(xùn)導(dǎo)師的角色，而不是執(zhí)行者或安全檢察員，制定一個(gè)一個(gè)正式的開(kāi)發(fā)人員安全培訓(xùn)計(jì)劃，并為他們提供執(zhí)行安全任務(wù)所需的工具，安全團(tuán)隊(duì)將可以騰出大量時(shí)間覆蓋更多的領(lǐng)域。