保护 DevOps 的 5 个技巧
对组织来说,构建一个坚实的基础和框架是DevOps取得成功的重要条件之一。
三个基本需求
1. 领导和管制
在需要做出决策的时候,领导负责带领团队提供指导和运营治理。尤其在面对频繁地软件部署及更新迭代时,同样面临与自动化有关的安全、监管和其他问题。如何平衡速度与安全的优先级?这仍然是当今采用DevOps实践的组织所面临的主要挑战之一。
建立有关人员和数据的组织领导和治理,以确保人们在正确的事情上工作,保持士气,为项目优先级提供方向,并为完成工作的正确工具做出预判。
2. 监管合规
随着现在对数据安全治理更加严格,对于数据传输尤其跨境传输更需要谨慎对待。确定监管需求,人们或其他服务从哪里访问数据? 涉及哪些跨境转账?
3. 风险管理
风险管理是技术管理中的一个基础问题,如果发生数据入侵或泄露会造成哪些损失?
产品或服务存在哪些技术漏洞、威胁和风险?需要什么样的安全测试,如静态/动态测试,渗透测试等。发现漏洞后如何采取修复或打补丁的措施?
在人事方面,在关键人员离开时是是否会带来潜在风险?采取哪些措施来应对这些风险?包括第三方、合同和隐私风险。
开源软件的使用呈增长趋势,对于其中的安全隐患同样不能掉以轻心。
两个框架活动
1. 软件开发生命周期 (SDLC)
SDLC至关重要。SDLC涉及所有的人员(团队、承包商、顾问)进行产品的设计和实现,包括使用什么模型,负责哪部分内容。当前API的使用在各种行业(包括包括医疗保健和零售)中大幅增加,API的使用也成为SDLC的一部分。
以下是在安全上需要具备的具体几个方面:
● 威胁建模。
● 测试。回归测试、压力测试、渗透测试、安全性测试。
● 安全编码。在软件开发完成后返回修复代码缺陷让人头大,必要的代码检测可以降低软件中涉及的风险及合规问题。
2. 培训
客户需求不断变化企业的技术也在不断更新,培训让组织人员提高安全编码水平、威胁和安全意识以及专业声誉。
实施DevOps模型一旦建立了基础,就需要大量的工作、时间和金钱来进行重构或改变,因此在一开始构建模型时需要进行适当的考虑来制定正确的路线。
DevOps模型的各方面可能会随着时间的推移而改变,有新技术、新员工、业务变化、客户需求以及社会和文化的转变。这些变化无法提前预见,因此需要根据情况进行必要的调整。
来源:
https://devops.com/5-tips-for-securing-devops-what-you-wish-you-knew-sooner/