打破信息孤岛并成为网络安全冠军将使您、您的职业生涯和您的组织受益。安全是DevOps的一个被误解的元素,一些人认为它不属于DevOps的范围,而另一些人认为它非常重要(并且经常被忽视),建议您改用DevSecOps。然而,无论您同意哪一方,网络安全显然影响到我们所有人。每年,关于攻击的统计数据都令人震惊。例如,每39秒发生一次黑客攻击,这可能会导致您为公司编写的日志、身份和专有项目被盗。您的安全团队可能需要数月(甚至可能永远不会)才能发现它的幕后黑手、丢失的内容、遭到破坏的地点以及时间。面对这些棘手的问题,运维专家该怎么办?在我看来,我们是时候成为网络安全的拥护者并成为解决方案的一部分了。打破孤岛:让部门保持一致在我与IT安全团队并肩工作的几十年里,我注意到了很多。一个大问题是DevOps和安全团队之间的关系经常很紧张。这种紧张的原因几乎总是由于安全团队为保护系统免受漏洞所做的努力(例如,设置访问控制或禁用某些东西),而这些努力可能会中断DevOps工作并阻止其快速部署的能力应用程序。关于这一点,相信大家应该都经历过或者看到过。一小群人的积怨最终烧毁了双方之间的信任桥梁,要么需要一段时间来修复,要么双方之间开始了一场小规模的地盘争夺战,这种结果使得DevOps的实现变得更加困难。同理心为了打破这些孤岛并结束裂痕,我在每个安全团队中至少有一个人可以与之交谈,以了解我们组织日常安全运营的来龙去脉。我出于好奇开始做这件事,但让我坚持下去的是它总是给我带来一些有价值的新观点。例如,我了解到,对于每个因安全问题而暂停的部署,IT安全团队都在尝试修复它发现的其他10个问题。他们反应的莽撞和尖锐是因为他们解决这些问题的时间有限,否则这些问题就会成为大问题。考虑发现、识别和撤消已完成的操作所需的知识量,或者指出DevOps团队正在做什么(没有上下文),然后复制和测试它。所有这些工作通常都是由人手严重不足的安全团队完成的。这是你的安全团队的日常,你的DevOps团队看不到,更别说理解了。IT安全团队的日常工作可能意味着加班和加班,以确保公司、其团队以及该团队正在从事的所有项目安全运行。成为安全倡导者的方法当您成为自己的安全团队的倡导者时,您可以成为他们的推动者,而不是他们的阻碍。这意味着对于您所做的一切,您必须仔细查看其他人可以登录的所有方式以及他们可以从中获得什么。通过帮助您的安全团队,您就是在帮助自己。将工具添加到您的工作流程中,将您知道的事情与他们知道的事情结合起来。从小处着手,例如阅读公开的漏洞暴露(CVE)并将扫描模块添加到您的CI/CD过程中。您构建的所有内容都会有一个开源扫描工具,从长远来看,添加下面列出的小型开源工具可以使项目变得更好。容器扫描工具:AnchoreEngine——Anchore是一款容器安全扫描工具,可以静态扫描应用容器的漏洞,支持白名单/黑名单和评估策略设置。Clair——Clair是coreos推出的一款容器安全扫描工具。可以对应用容器的漏洞进行静态扫描,同时支持APPC和DOCKER。Vuls-Vuls是一种用于Linux/FreeBSD的无代理、基于Go的漏洞扫描器,可通知用户系统相关的漏洞;通知用户受影响的服务器;自动化漏洞检测;使用CRON或其他方法定期生成报告;管理漏洞等。OpenSCAP——OpenSCAP由Redhat开发。它是一个开源框架,集成了SCAP中的各种标准,并为SCAP用户提供了一套易于使用的接口。OpenSCAP实现了对SCAP数据格式的解析和用于执行检查操作的系统信息探针,这使得SCAP采用者可以专注于业务实现,而不是处理一些繁琐的底层技术。目前最新版本的OpenSCAP完全支持SCAP1.0规范中的所有标准。代码扫描工具:OWASPSonarQube-SonarQube是一个开源的代码分析平台,用于持续分析和评估项目源代码的质量。通过SonarQube,我们可以检测出项目中的重复代码、潜在bug、代码规范、安全漏洞等问题,并通过SonarQubewebUI展示出来。FindSecurityBugs-FindSecurityBugs是一个FindBugs插件,用于审计JavaWeb应用程序和Android应用程序。GoogleHackingDiggityProject-GoogleHackingDiggity是一个工具集项目,它使用搜索引擎(如Google、Bing)快速识别系统弱点和敏感数据。Kubernetes安全工具:ProjectCalico-Calico为容器和虚拟机工作负载提供安全的网络连接。它创建并管理第3层平面网络,为每个工作负载分配一个完全可路由的IP地址。工作负载可以在没有IP封装或网络地址转换的情况下进行通信,以实现裸机性能、简化的故障排除和更好的互操作性。Kube-hunter——Kube-hunter是Aqua推出的一款工具。Kube-hunter可以用来进行免费的Kubernetes环境渗透测试。在Kube-hunter网页上,系统会列出用户环境的漏洞和严重程度。以及问题的描述。使用URL,公司用户还可以与组织的其他成员共享扫描结果。NeuVector-Neuvector为主机和pod提供持续的运行时保护。它可以通过扫描Kubernetes集群、节点、pod和容器映像来保护容器免受安全漏洞的侵害。保持DevOps态度如果您担任DevOps相关角色,学习新技术以及如何使用它创造新事物是您工作的一部分。安全性也是如此。在DevOps安全方面,我总是与时俱进,这里是我的学习技巧:每周阅读一篇与安全相关的文章,介绍你在做什么;每周检查官方CVE站点以查看新的Bug;尝试做一个黑客马拉松(Hackathon)——通常是一个连续的、密集的编程活动,由注册人员组成一个团队在规定的时间内完成计划的活动。有些公司每月这样做一次;如果你觉得这还不够,想了解更多,可以访问BeginnerHack1.0网站;尝试每年至少与您的安全团队成员一起参加一次安全会议,并学会从他们的角度看待事情。成为倡导者是为了更美好的未来您应该成为自己团队的安全倡导者的原因有很多,首先是为了增长您的知识并帮助您的职业发展。第二个原因是帮助其他团队、建立新的关系并打破对您的组织有害的孤岛。在整个组织内建立融洽的关系有很多好处,包括树立沟通团队的良好榜样和鼓励人们一起工作。同时,您将促进整个组织的知识共享,并为每个人提供更好地在安全方面进行内部协作的新机会。总体而言,成为网络安全冠军会让您成为整个组织的冠军。
