越来越多的公司正在采用DevOps来改善敏捷性的发展并加速业务应用程序的推出。但是,速度还提高了安全风险。要在提高业务敏捷性和确保信息安全之间达到平衡,您需要将安全团队集成到DevOps方法。这带来了一些挑战,包括打破分离安全性和DevOps角色的文化障碍所需的时间和能量。在这里,任何组织都可以采取的四个关键步骤来克服这些挑战。
在发现有多少公司致力于将安全与DevOps整合在一起之后,我们开发了这些最佳实践。
我们最近研究了IT,DevOps和安全团队中的300名高级管理专业人员。这些团队的中小型组织已经实施了DevOps的态度。Digicert2017年的热情和温暖的DevOps发现,超过98%的受访者已经获得了他们首选的事项,以整合其当前的DevOps方法。
他们分为两个平等组,其中49%正在整合安全性,而其他49%的人已经完成了工作 - 并报告说,这种整合改善了敏捷性和信息安全性的发展。
大多数人担心,如果这不这样做,这将导致影响其组织底线的问题:
强调风险的是,有59%的受访者说他们有时可能会持有流氓证书。换句话说,那些在组织中发表的人通常在问题之前对安全部门看不到。
如果您要进行此集成,那么您的第一个问题可能是“从哪里开始?”
首先,找到您的冠军。此人将通过清除其角色,安全和DevOps的作用,并监督这些不同的团队和人员的整合来促进这种必要的文化变革。该人可能是您的首席数据官或首席风险官,或任何表现出传播福音并聚集人们的能力的人,这需要一个热衷于实现这一变化的人,因为他们知道这样做将有助于整个企业的成功。
您可能会决定需要多个福音传教士,并且有来自技术团队中不同背景和角色的代表。您需要能够与经常存在的人见面。
调查受访者说:“安全人员只是不同的动物,但开发人员也是如此,”他是纽约一家大型打印机制造商的高级项目经理。“
为所有DEVOPS计划安排安全主管,并让他们从一开始就参与。Limit访问并实施自动化的PKI以签署和加密网络的所有内容。
很多时候,安全是生命周期发展结束时的守门人,可能被视为障碍。完成施工和测试应用程序的所有工作后,安全输入过程 - 发现了部署的问题流程被暂停。一种更具成本效益的方法是较早涉及安全。这样,每个人都知道第一天的目标是什么。
“我们实施的速度越快,脆弱性问题的可能性就越大,”美国中部一家大型制造公司的IT经理说。这就是为什么它对我们如此重要;从长远来看,它可以节省我们的时间和钱。”
DEVOPS工作流程中的自动基线安全实践,包括证书管理,维修,漏洞扫描和静态代码分析。
目的是简化开发过程,包括安全过程。例如,考虑漏洞扫描,这可以确保开发人员使用的库与所有安全补丁同步。
证书管理为自动化提供了另一个机会。当启动新项目时,请不要要求您的安全团队要求提供数字证书。相反,请求和供应证书的过程自动自动化以提高效率并大大降低风险。
这不是自动化的,而是正确的事情。100%自动化不应是您的目标。手动完成一项简单的任务需要一分钟,或者自动化并不容易,请不要打扰。
相关信息
实施对证书管理过程的控制,并与服务器配置和安排平台集成以实现幕后自动化和安全性。请尽可能地进行标准化。例如,请勿让不同团队的用户从许多库中进行选择选择库并在企业中使用它。
集成安全性和DEVOPS的过程并不容易或快速,但是值得一提。