2020年DevSecOps安全团队的六大目标
云栖号:https://yqh.aliyun.com
第一手的上云资讯,不同行业精选的上云企业案例库,基于众多成功案例萃取而成的最佳实践,助力您上云决策!
2020 年,“敏捷安全” 将解决数字化转型中困扰企业多年的安全问题。
随着企业改变其技术基础设施和软件交付模式,以保持市场领先优势, IT 交付领域正在经历巨大的变化。这推动了 DevOps 实践、云原生技术、容器、微服务的迅速采用,以及对 API 和第三方代码的广泛依赖。
这些变化反过来又模糊了基础设施、代码和 IT 角色的界限,所有这些变化都在彻底颠覆当今的企业信息安全防御体系。
但对于那些愿意保持灵活性的安全团队来说,这也为最终解决困扰组织多年的安全问题提供了历史性机会。
RSA 总裁 Rohit Ghai表示:对云本地应用程序的需求以及广泛采用DevOps来推动数字转型,无疑将在 2020 年 “加速脆弱性风险”。但同时,他认为:能适应 DevSecOps 模式,将安全性纳入到软件管道中,同时提高自动化程度的安全团队,将在软件安全和安全操作方面带来巨大的进步。
这将使渗透测试和代码分析能够在开发生命周期的早期介入,并将网络弹性设计到基础设施的结构中,从而减少攻击面。
为了实现这一目标,安全和 DevOps 专家认为 2020 年企业需要牢记以下这六大目标:
最大限度的自动化
随着组织着眼于将应用程序安全性 “左” 移到软件交付管道中——构建安全性需求并检查到 “完成” 的定义中——许多组织已经开始实现 DevSecOps 成熟度的第一阶段。但是,容器、无服务器技术的采用,以及开发和运营自动化程度的提高,又制造了新的安全热点,必须加以解决。
Lacework的研究主管James Condon认为,解决之道与软件开发加速类似:自动化。
面对不断涌现的新兴安全领域,安全团队如何跟上步伐?
他认为,DevSecOps 组织不仅必须需要关注测试自动化,而且还必须关注自动化安全策略的执行、补救和响应。而那些希望将自动化提升到下一个层次的安全团队可以从他们的开发人员同事那里学习。
自动化让开发工作效率倍增,对安全也是如此。今年,我们将越来越多地看到人们利用自动化解决困难而复杂的安全问题,从部署前的早期实施扩展到基础设施的持续安全,再到运行时的自动事件响应。
API安全是关键“抓手”
根据 Akamai 的数据,目前约 83% 的 Web 流量是 API 流量。你可以把这归结为 DevOps 的拥护者狂热地采用微服务架构,他们明白当你用可互换的、可重复的组件创建软件时,构建、修复和迭代应用程序要容易得多,同时又不会导致不可挽回地破坏。架构转变的很大一部分依赖于通过 API 将所有东西粘合在一起。
这使得软件交付更迅速、更具弹性,但也带来了新的安全问题。
42Crunch 云平台副总裁德米特里·索特尼科夫 (Dmitry Sotnikov) 说:
过去在单一应用程序世界中,应用程序组件之间的内部调用通常是通过公共网络进行的 API 调用,容易受到攻击,新的微服务的快速部署大大扩展了软件攻击面。这也是一个巨大的挑战,因为一家公司内数百(甚至数千)个 API 的快速敏捷迭代,使得安全团队无法在所有这些 API 中手动控制和实施安全策略和最佳实践。
这将使安全团队回到自动化目标上来,以便更好地处理 API 安全——包括发现、测试和修复代码和配置中的漏洞。
以“代码化政策”获取巨大安全收益
在 DevOps 世界中,最大的成果通常是通过 “一切都是代码” 的方法实现的,这种方法使得向上和向下构建可靠的、可重复的基础架构组件变得更加容易。Styra 的首席技术官兼联合创始人蒂姆•辛里奇斯 (Tim Hinrichs) 表示,在未来,出于安全和合规目的,这可能是一个巨大的利好,但现在,DevOps 与安全团队之间存在着巨大的差距。
当审计的时候,情况尤其如此;审计人员通常必须在容器化的环境中手动完成安全实践。
Hinrichs 认为,团队应该寻求采用基于策略的控制,这些控制以代码格式的方式表现出来,以帮助 “消除手动代码审查,减轻合规性工作,并消除流程瓶颈”。
Akamai 的高级产品经理 Sid Phadkar 也表示:许多组织将直接在代码中构建安全策略,以帮助处理 GDPR 等法规对其提出的重大合规要求。
DevOps 工具的数量将会增加,这些工具能够在信息安全团队中自动化更多与法规遵从性相关的任务,从而将安全和合规措施纳入日常的 CI 工作流中。
Neuverector 产品副总裁 Glen Kosaka 说,这不仅对合规有利,而且总体上也可以简化安全自动化和容器编排,并解释说,DevSecOps 团队应该通过 YAML 文件为所有工作负载部署和设置安全策略。
安全 ‘政策即代码’——总的来说,更容易实现安全自动化——将改变 DevSecOps 团队在 2020 年处理容器安全的方式。
Kosaka 还预言,这种更高效和自动化的安全集成过程的演变将是明年 DevOps 特别受欢迎的热点。
将DevOps模式推向安全标准
随着 DevOps 团队的开发和运营集成更加紧密,随着开发人员全面重构基础设施,随着自动化将更多的权力交给软件交付团队,孤岛被打碎,交付速度和 IT 部门内的敏捷性得到极大提升。但与此同时,他们也打破了审计师们要求的许多重要职责的藩篱。
Duo security(现属于Cisco)助理 CISO、RSA 会议咨询委员会成员 Wendy Nather 说:
领先科技公司的可靠、可重复的安全流程和模式会在工作组中分享经验,而这些实践将合并成更为严格的标准。
那些希望在 DevSecOps 团队中建立标准和框架的安全领导人应该密切关注这种标准化的社区工作——积极为社区作出贡献,跟踪最新发展情况,以便进行内部改进。
处理好Ops可见性提升带来的隐私问题
在 DevOps 时代开展 IT 运营的一个关键原则是对软件和基础设施进行高度测试,以提高可靠性并改进实践。运营团队正在向 AI Ops 实践迈进,AIOps 实践强调尽可能多地收集 IT 数据,并使用机器学习和 AI 算法来处理所有事情,以便对潜在的性能问题做出更灵敏的响应和预测。这确实有利于提高系统正常运行时间比例,但从隐私角度来看,随着 AIops 从数据中心转移到边缘,这可能会产生新的隐私问题。
OpsRamp 的机器学习架构师 Jiayi Hoffman 解释说:
随着人工智能在边缘的发展,公司更容易监控台式机、平板电脑和其他终端用户设备。AIOps 表面上可以看到员工在其设备上所做的一切。考虑到工作和个人时间之间的界限是模糊的,这意味着有可能获得个人银行账户或医疗挂号信息。
Hoffman 说,未来一年,安全部门的领导应该帮助他们的CIO和CTO与人力资源和法律部门合作,“在企业稳定监控设备和保护员工个人隐私之间取得正确的平衡点。”。
制定安全培训计划
安全团队根本就没有足够的人手为应用开发的每个环节都派驻一个安全仲裁者。Coveros 首席技术官汤姆斯蒂姆 (Tom Stiehm) 表示:当考虑 “左移” 时,核心目标是让安全成为每个人的责任,而不仅仅是安全部门的职责。他说,最好的组织往往遵循 100-10-1 的比例,因此每 100 名开发人员中就有 10 名 DevOps 专业人员和一名应用程序安全专业人员。
Stiehm 随后又表示:即使是这样的比例(可以说是乐观的),可能也没有足够的时间完成所有工作。
聪明的 DevSecOps 安全专家意识到,那些有限应用安全专家应该扮演培训导师的角色,而不是执行者或安全检察员,制定一个一个正式的开发人员安全培训计划,并为他们提供执行安全任务所需的工具,安全团队将可以腾出大量时间覆盖更多的领域。
原文发布时间:2020-01-19
作者:aqniu
本文来自阿里云云栖号合作伙伴“安全牛”,了解相关信息可以关注“安全牛”
云栖号:https://yqh.aliyun.com
第一手的上云资讯,不同行业精选的上云企业案例库,基于众多成功案例萃取而成的最佳实践,助力您上云决策!
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
欧盟公共场所拟禁用人脸识别技术,AI公司怒怼:还想不想追赶中美了!
云栖号:https://yqh.aliyun.com第一手的上云资讯,不同行业精选的上云企业案例库,基于众多成功案例萃取而成的最佳实践,助力您上云决策! 【新智元导读】据外媒报道,一份有关人工智能“白皮书”的草稿显示欧盟正在考虑制定新的法规,拟5年内禁止在公众场所使用人脸识别技术,以便有时间研究如何防止这种技术被滥用。文件称:“在这些现有规定的基础上,未来的监管框架可以更进一步,包括在公共场所使用人脸识别技术的有时限的禁令。 在隐私这件事上,欧盟一向非常严格。甚至可以称得上苛刻! 据报道,欧盟委员会之所以在18页的白皮书中提出这个禁令,是因为全球围绕人工智能驱动的人脸识别、以及执法机构广泛使用在展开辩论。 禁令围绕人脸识别的广泛使用展开,意在约束AI开发者 微软过去曾多次发出呼吁,指出人脸识别正在面临被滥用的风险,各国政府监管部门应该加强管理,同行业公司的推广应该更加谨慎。 在保护个人隐私方面,欧盟是全世界最严格的地区之一,过去推出了《通用数据保护法》,督促全世界的科技公司进行全面整改。 欧盟委员会表示,可能需要引入新的严格规则来补充保护欧洲人隐私和数据权利的现有法规。禁令意在约束人工...
- 下一篇
喜报!阿里巴巴达摩院获得全国人工智能大赛 AI+4K HDR 赛项冠军
1 月 18 日,首届全国人工智能大赛决赛颁奖典礼在深圳鹏城实验室举行。本届大赛由深圳市人民政府主办,以“AI赋能视界”为主题,设置了“AI+4K HDR”和“Person ReID”两大赛项。 经过近 3 个月的鏖战,由阿里巴巴达摩院 AIC 团队的研究型实习生、香港理工大学的博士生曾辉、杨熹、梁杰从一千一百多支参赛队伍中脱颖而出,获得 AI+4K HDR 赛项的冠军。 经过激烈的初赛和复赛,共有 10 支团队进入了 AI+4K HDR 决赛。决赛题目和数据与复赛不同,全面考察 4K HDR 标准在分辨率、清晰度、色彩以及动态范围方面的表现,并且要求选手在极端时间内给出结果,挑战性极大。 曾辉团队凭借对问题的深入理解,将任务拆分成低频、高频两大类,针对低频任务(亮度矫正,色彩增强和 SDR 转 HDR )提出了基于 3D LUT 的创新解决方案,同时设计了多尺度、多任务的高效学习框架,最终集成出一套包含数据预处理、模型学习和结果后处理三大模块十多项处理的系统解决方案,获得了该赛项冠军。曾辉团队之所以能够获得 4K HDR 比赛的冠军,得益于阿里巴巴达摩院人工智能中心在该领域的深厚积累...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Docker安装Oracle12C,快速搭建Oracle学习环境
- Red5直播服务器,属于Java语言的直播服务器
- CentOS7,CentOS8安装Elasticsearch6.8.6
- CentOS8编译安装MySQL8.0.19
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS6,CentOS7官方镜像安装Oracle11G
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- CentOS8安装Docker,最新的服务器搭配容器使用