為什麼 DevOps 如我們所知道的那樣,是安全的終結
安全難以推行。在企業管理者迫使開發團隊儘快發布程序的大環境下,很難說服他們花費有限的時間來修補安全漏洞。但是鑒於所有網路攻擊中有 84% 發生在應用層,作為一個組織是無法承擔其開發團隊不包括安全性帶來的後果。
DevOps 的崛起為許多安全負責人帶來了困境。Sonatype 的前 CTO Josh Corman 說:「這是對安全的威脅,但這也是讓安全變得更好的機會。」 Corman 是一個堅定的將安全和 DevOps 實踐整合起來創建 「堅固的 DevOps」的倡導者。Business Insights 與 Corman 談論了安全和 DevOps 共同的價值,以及這些共同價值如何幫助組織更少地受到中斷和攻擊的影響。
安全和 DevOps 實踐如何互惠互利?
Josh Corman: 一個主要的例子是 DevOps 團隊對所有可測量的東西進行檢測的傾向。安全性一直在尋找更多的情報和遙測。你可以獲取許多 DevOps 團隊正在測量的信息,並將這些信息輸入到你的日誌管理或 SIEM (安全信息和事件管理系統)。
一個 OODA 循環(觀察observe、定向orient、決定decide、行為act)的前提是有足夠普遍的眼睛和耳朵,以注意到竊竊私語和回聲。DevOps 為你提供無處不在的儀器。
他們有分享其他文化觀點嗎?
JC: 「嚴肅對待你的代碼」是一個共同的價值觀。例如,由 Netflix 編寫的軟體工具 Chaos Monkey 是 DevOps 團隊的分水嶺。它是為了測試亞馬遜網路服務的彈性和可恢復性而創建的,Chaos Monkey 使得 Netflix 團隊更加強大,更容易為中斷做好準備。
所以現在有個想法是我們的系統需要測試,因此,James Wickett 和我及其他人決定做一個邪惡的、帶有攻擊性的 Chaos Monkey,這就是 GAUNTLT 項目的來由。它基本上是一堆安全測試, 可以在 DevOps 周期和 DevOps 工具鏈中使用。它也有非常適合 DevOps 的API。
企業安全和 DevOps 價值在哪裡相交?
JC: 這兩個團隊都認為複雜性是一切事情的敵人。例如,安全人員和 Rugged DevOps 人員實際上可以說:「看,我們在我們的項目中使用了 11 個日誌框架 - 也許我們不需要那麼多,也許攻擊面和複雜性可能會讓我們受到傷害或者損害產品的質量或可用性。」
複雜性往往是許多事情的敵人。通常情況下,你不會很難說服 DevOps 團隊在架構層面使用更好的建築材料:使用最新的、最不易受攻擊的版本,並使用較少的組件。
「更好的建築材料」是什麼意思?
JC: 我是世界上最大的開源倉庫的保管人,所以我能看到他們在使用哪些版本,裡面有哪些漏洞,何時他們沒有修復漏洞,以及等了多久。例如,某些日誌記錄框架從不會修復任何錯誤。其中一些會在 90 天內修復了大部分的安全漏洞。人們越來越多地遭到攻擊,因為他們使用了一個毫無安全的框架。
除此之外,即使你不知道日誌框架的質量,擁有 11 個不同的框架會變得非常笨重、出現 bug,還有額外的工作和複雜性。你暴露在漏洞中的風險是非常大的。你想把時間花在修復大量的缺陷上,還是在製造下一個大的破壞性的事情上?
Rugged DevOps 的關鍵是軟體供應鏈管理,其中包含三個原則:使用更少和更好的供應商、使用這些供應商的最高質量的部分、並跟蹤這些部分,以便在發生錯誤時,你可以有一個及時和敏捷的響應。
所以變更管理也很重要。
JC: 是的,這是另一個共同的價值。我發現,當一家公司想要執行諸如異常檢測或凈流量分析等安全測試時,他們需要知道「正常」的樣子。讓人們失誤的許多基本事情與倉庫和補丁管理有關。
我在 Verizon 數據泄露調查報告中看到,追蹤去年被成功利用的漏洞後,其中 97% 歸結為 10 個 CVE(常見漏洞和風險),而這 10 個已經被修復了十多年。所以,我們羞於談論高級間諜活動。我們沒有做基本的補丁工作。現在,我不是說如果你修復這 10 個CVE,那麼你就沒有被利用,而是這佔據了人們實際失誤的最大份額。
DevOps 自動化工具的好處是它們已經成為一個意外的變更管理資料庫。其真實反應了誰在哪裡什麼時候做了變更。這是一個巨大的勝利,因為我們經常對安全性有最大影響的因素無法控制。你承受了 CIO 和 CTO 做出的選擇的後果。隨著 IT 通過自動化變得更加嚴格和可重複,你可以減少人為錯誤的機會,並且哪裡發生了變化更加可追溯。
你認為什麼是最重要的共同價值?
JC: DevOps 涉及到過程和工具鏈,但我認為定義這種屬性的是文化,特別是同感。 DevOps 有用是因為開發人員和運維團隊能夠更好地了解彼此,並做出更明智的決策。不是在解決孤島中的問題,而是為了活動流程和目標解決。如果你向 DevOps 的團隊展示安全如何能使他們變得更好,那麼作為回饋他們往往會問:「那麼,我們是否有任何選擇讓你的生活更輕鬆?」因為他們通常不知道他們做的 X、Y 或 Z 的選擇使它無法包含安全性。
對於安全團隊,驅動價值的方法之一是在尋求幫助之前變得更有所幫助,在我們告訴 DevOps 團隊要做什麼之前提供定性和定量的價值。你必須獲得 DevOps 團隊的信任,並獲得發揮的權利,然後才能得到回報。它通常比你想像的快很多。
via: https://techbeacon.com/why-devops-end-security-we-know-it
作者:Mike Barton 譯者:geekpi 校對:wxy
本文由 LCTT 原創編譯,Linux中國 榮譽推出
推薦閱讀:
※大數據下的技術運營(一)——監控系統概覽篇
※如何設計並實現一個通用的應用運維管控平台
※閑聊我心中的運維
※少年,你的告警量可以更少些!