一周前,我收到了一家网络托管公司的电子邮件,通知我我的帐户在数据泄露中受到了损害。bob全站app由于该网站不再活跃,因此我并没有太警觉 - 直到我看到与该帐户相关的密码已暴露。
My email was also exposed, so this could give a hacker enough pieces to access social media, banking, and other accounts. Fortunately, I was using unique, strong passwords for all my accounts, so while one password was exposed, it gave hackers no backdoors into the rest of my online presence. The feeling of relief when I cross-checked the compromised password and confirmed it didn't match any others was palpable.
这是一个现实的场景,不同的安全策略相互支持。首先,互联网托管公司检测到了违规行为。bob全站app其次,它确定了受影响的用户并向他们提醒问题 - 否则,这些人不会知道任何错误,也不会有机会主动更新其他帐户的密码。最后,我练习了良好的密码安全性, so the breach did not cause additional problems.
Of course, this all occurred because of the failure of one security strategy, but imagine how much worse this situation would be if the company did not have any mitigation strategies in place.
Good security strategies are crucial for every part of an organization. For companies that have adopted a DevOps model, security is even more critical to protecting both the organization and the customers who use their products.
We'll dive into DevOps security, its benefits, and best practices in this post.
什么是DevOps安全性?
DevOps Security是一种专注于生命周期阶段网络安全的DEVOPS的方法。通过实践,文化和工具的结合,DevOps安全策略使DevOps环境变化了。这包括团队使用的软件交付管道,产品的bob电竞官方下载源代码以及部署产品的操作环境。
现在,我们知道了DevOps安全性是什么,让我们研究对DevOps与网络安全之间关系的频繁误解。
DevOps和安全性的常见神话
DevOps模型的主要好处之一是它强调速度:交付速度,交接速度,更新速度。鉴于这一重点,有些团队可能将安全视为这一势头的障碍。对于安全团队来说,这自然是一个关注的问题,即担心网络安全将被推到方向上,以促进快速迭代。
但是,更广泛的视图为我们提供了对立面。尽管在管道中早期考虑网络安全问题似乎放慢了这一过程,但是当测试和部署阶段迅速清除时,它将稍后支付股息。DevOps的另一个基本价值是“左右左”测试方法,这也适用于安全性。
Testing code against security standards during the development phases means the application will be more secure from the foundation up. This approach also allows the team to discover vulnerabilities and bugs sooner. The delays needed to fix an application in production will cost more time than earlier fixes given the complexity of correcting errors in a fully integrated system versus individual software modules.
DevOps如何提高安全性
Integrating security into DevOps leads to a faster overall delivery time by accounting for this primary concern from the start instead of only during the testing phase. This is one of several ways that DevOps and security complement each other. We'll cover the others below.
更快地解决脆弱性的时间
If a vulnerability is identified once the application is in production, the DevOps model enables the team to quickly address it. The longer a vulnerability exists, the more likely a bad actor will discover it and exploit it.
制定敏捷发展策略的回报是能够快速消除利用的能力。
开发,运营和安全性之间的沟通增加
DevOps的核心价值是沟通和协作。这种文化适用于工程师的日常工作,直到开发,运营和安全团队之间的关系。通过共同努力而不是在孤岛中,可以从DevOps Pipeline的计划阶段开始权衡每个团队的担忧。
结果是安全专家和DevOps团队之间更好的信息共享。例如,安全团队可以建议您不使用某些已知漏洞的技术。
Continuous Improvement
DevOps的另一个核心价值是连续集成/连续部署(CI/CD)方法。该策略强调迭代版本,并不断地关注改进,而不是在一定的基准之后宣布“完成”产品。
该团队一直在寻找新的功能和技术,以提高软件的性能,弹性和安全性。bob电竞官方下载这种重点意味着DevOps团队更有可能采用解决最新威胁的新方法。简而言之,该策略已从反应性转变为主动。
部署后的惊喜更少
DevOps模型的重点是尽早进行测试,自然会补充安全性。毕竟,更强大的代码更容易安全,并且更弹性地对外部干扰。此外,在测试中增加安全性将确保应用程序的防御能力更强地进入生产。所有这些活动都会在部署后带来更少的惊喜,这使您的团队花费更多的时间和金钱,正如我们之前报道的那样。
通过专注于下面概述的DevOps安全性最佳实践,您的团队还可以享受这些好处,除了向客户提供更安全的产品并保护自己的环境。
DevOps安全最佳实践
- 设置治理策略.
- Segment your network.
- Automate your DevOps security processes.
- 执行连续发现。
- Conduct vulnerability management.
- 采用配置管理。
- 使用密码管理。
- Implement version control.
- Conduct regular security audits.
- 采用DevSecops方法。
1.制定治理政策。
拥有明确和透明的治理政策是在DevOps模型中实现更好安全性的第一步。员工是从合规到执法的安全性的关键组成部分,并提供明确的指导方针使他们能够做出更好的决策并在发现问题时提出旗帜。
These policies should be a reflection of your organization's larger best practices so that the software your team creates meets your company's internal security requirements.
2.细分您的网络。
如果攻击者渗透到您的网络,请不要让DevOps团队的技术堆栈访问。部署的软件应在一个bob电竞官方下载单独的网络上,以避免向渗透应用程序的不良演员提供后门。通过将网络分割为逻辑单元,您可以限制攻击者可以造成的损害,并使隔离入侵者更容易。如果您需要在各个细分之间共享资源,请实施零bob体育苹果系统下载安装信托方法,以便在授予访问权限之前需要对任何请求进行认证。
3.自动化您的安全流程。
Automation对于达到DevOps模型承诺的规模和速度至关重要。您的DevOps方法应遵循相同的逻辑。
DevOps工具可以在构建和测试阶段中自动化代码分析。基础架构工具可以使用基础架构作为代码实践。安全工具还通过标记潜在威胁并立即做出响应以防止进一步损坏来为监视阶段提供动力。自动化过程允许您的安全实践以DevOps生命周期的速度移动。
4.执行连续发现。
Just as the DevOps model emphasizes continuous improvement, continuous discovery is critical for DevOps security. Cataloging all devices, tools, and accounts on the network is the first step to ensuring access is only provided to authorized assets. This monitoring process must be constant to account for real-time changes in the system. If you can't see it, you can't validate it.
5.进行脆弱性管理。
漏洞是DevOps安全的主要重点。最糟糕的结果是,该软件被部署给客户,并具有现有的漏洞,而不良演员则能够利用。bob电竞官方下载DevOps团队可以通过进行vulnerability assessments确定潜在的利用。然后,他们能够通过渗透测试评估这些结果,以确定哪些是假阳性,哪些是要解决的应用程序中的实际空缺。
6.采用配置管理。
就像软件代码中的漏洞是潜在的攻击表面一样,软件基础结构中的配置bob电竞官方下载错误也是如此。连续扫描可以在应用程序环境中识别和补救配置错误。这些应在物理,虚拟和云服务器上进行,以消除盲点。
7.使用密码管理。
Passwords are crucial and often a weak point of security. Requiring strong passwords and frequent changes will harden this dimension of your security. To ease employees' frustration from having to remember multiple complicated phrases,password managers允许您的团队在一个中央位置容纳信息,以防止盗窃。
8.实施版本控制。
版本控制允许您在提交新代码之前设置权限以审查和批准。这是开发人员审查增加并确保符合安全标准和政策的自然要点。该策略还可以防止故意引入漏洞,因为对源代码的更改受到限制。
github是一个流行的代码存储库,允许团队限制对主分支的访问。
9.进行定期安全审核。
安全audits是对组织当前的安全实践与其政策的全面审查。正如您的公司应每年或半年级bob全站app进行这些评估一样,您应该在DevOps团队中进行这些评估,以确定成功和改进空间的领域。这将为您的团队的安全立场提供广泛的了解,并为您提供设置基准并衡量目标进度的数据。
10.采用DevSecops方法。
如果我们到目前为止所涵盖的最佳实践对于您的团队除了日常工作外是否可以解决很多,那么您并不孤单。DevSecops已成为DevOps安全性的演变,该安全性将安全团队直接集成到DevOps流程中。现在,您能够利用安全专家来告知您的决策和策略。
这并不能取代您团队接受安全最佳实践的需求。取而代之的是,DevSecops在开发和运营团队的努力之上,向DevOps模型添加了另一个保障措施。
将您的DevOps安全方法提升到新的级别。
正如中国谚语所说:“种植一棵树的最佳时机是20年前。现在是第二好的时光。”
回到我们的开幕式示例时,我很感谢我知道足够的安全性最佳实践,可以在当天实现唯一的密码。但是,如果我没有,我能做的最好的事情就是开始现在by changing the passwords of any other accounts that shared that email and password combination.
Whether you choose to adopt a full DevSecOps approach or try to incorporate more security into your existing DevOps model, the most important next step you can take is to make security a priority for your team in every stage of the pipeline. Like the DevOps model as a whole, focusing on continuous improvements to existing practices will lead to quick wins and a stronger stance over time.
