企业的数字化程度越高,使用的云服务就越多,操作环境也就越复杂。随着数字网络和云服务的不断增加,企业内部的责任分工变得越来越模糊。在大型组织中,云预算和开发资源都由各个业务部门自行管理,从而加剧了这一复杂性。尽管这对自主管理数字合作关系的部门来说可能并无大碍,但却构成了严峻的安全挑战。各方关系错综复杂,安全工作究竟是谁人之责?IT 部门、业务部门还是云提供商?没有端到端的可视性,IT 管理者便很难实施集中式安全战略和一致性的安全策略,最终重要数据将置于越来越大的风险之中。
责任共担模式催生灰色区域
责任共担模式下的灰色区域会带来安全漏洞,尤其是当工具来自云市场时,情况会更为复杂。
云服务提供商通过云市场提供一系列解决方案、插件和安全解决方案。这些工具通过云服务提供商购买,看似应由云服务提供商承担安全责任,但实际上一旦客户配置了这些工具,就代表客户同意对其安全性负责。但是,有时候客户揽下了责任,却不知道意味着什么。
对此比较好的办法就是通过根本原因分析 (RCA) 来确定责任归属(厂商、提供商或客户)。RCA 可以识别任何潜在威胁,确定事件的根本原因,然后制定行动方案。这通常包括通知关键利益相关者、启动威胁分析、建立流程来协调各方之间的响应和资源,以及将相关信息数字化/映射到相关云技术。
确定安全责任
如果第一步是明确责任的大方向(厂商、提供商和客户),那么下一步就是将责任细化到组织内部部门。
如果组织确实承担责任,那么管理人员必须将责任粒度细化到他们可能都不适应的级别。其中一个问题是,许多组织使用了专门的云开发策略。当今的组织通常拥有多个动态云环境,每个云环境可能都由不同的内部部门管理,他们担心中央 IT 团队的干预可能会妨碍他们的工作,比如影响速度、灵活性和控制力,而这些也是当初他们选择云服务的原因。例如 DevOps,速度和效率对交付关键业务应用至关重要。任何影响速度的安全措施都会被视为威胁。
传统的 IT 团队和 DevOps 团队通常对此意见不一。IT 团队建议使用安全工具,而 DevOps 团队认为安全工具是其工作中的拦路虎,与他们的主要目标背道而驰。虽然DevOps 团队擅长应用开发,但他们却通常缺乏安全开发知识。
DevSecOps 让安全性能两不误
要想两全其美,组织可以为每个 DevOps 小组配备一名网络安全专家,组成一个“DevSecOps”团队。这名 DevOps 安全专家(或专家团队)可以指导应用开发人员履行责任共担模式,帮助他们同时满足开发和安全要求。他们还可以跨所有云实例提供一致的安全策略,同时确保 DevOps 团队的开发效率。
有了 DevSecOps,这些团队就可以高效地选择、部署和管理工具,从而更顺利地实现速度和安全性目标。以 SaaS 安全解决方案为例,基于云的 Web 应用防火墙可以进行自我扩展。而 DevSecOps 可以确保 Web 应用按需增加,同时不会影响安全性。合适的工具部署起来也不会费力,有些工具甚至内置了安全功能,覆盖部署、维护和扩展乃至持续使用和开发过程中的所有优化。
自动化也发挥着至关重要的作用。设置完成后,自动化流程便可检查配置并扫描恶意软件(由于手动执行这两个流程需要时间和资源,这两个流程经常被搁置)。DevSecOps 团队可以帮助选择和设计合适的自动化云安全解决方案,以确保获得所有合适的安全特性:
◆自动扫描公有云中的漏洞
◆自动评估工具配置
◆动态保护存储的数据
◆查明错误配置
◆扫描云中的文件
◆通过防止未经授权的下载来保护敏感信息
领导者支持是关键
随着数字化成为当今市场上的主要竞争优势,领导者越发明确 Web 应用(及其管理方式)就是确保业务战略成功的关键。因此,DevOps 目标现已上升到公司管理层,成为董事会上常见的议题。
但是,由于高管们一心想要加快数字化转型,他们并没有意识到冒进的云化和专有应用的开发导致了安全问题复杂化,因此安全风险急剧攀升。
从 DevOps 到 DevSecOps 的演进意味着,安全性从开发新云实例的第一天起就被放在了首位。DevSecOps 团队可以开发必要的 RCA 云安全手册,确保这些准则的落地执行。他们还可以帮助企业选择安全解决方案,保护其不断增长的数字资源,同时防止意外风险进入环境。此外,由于 DevSecOps 能够防止企业违规和受到经济处罚,他们甚至可以直接影响企业的利润。
DevSecOps 的上述任何一项优势都值得获得高管们的重视和全力支持。