“安全即代码”:整合安全团队和DevOps团队
随着云计算开发和部署变得越来越快且越来越灵活,安全团队意识到,保护云应用和系统部署的唯一有效方法是开发可整合到部署管道的安全控制,以及尽可能自动化。安全社区很多人将这种方法称为安全即代码,这是采用基础设施即代码的概念,即将所有虚拟和基于云的堆栈组件定义为可配置元素,这些元素只是被视为一种软件定义,并在在配置文件和模板中进行管理。
然而,很多安全团队在采用这种方法时并不顺利。大多数安全专业人士并没有软件开发背景,并且,他们通常与DevOps团队脱节,DevOps团队使用高度自动化和灵活的工具及流程来集成、测试和部署代码到云端。
重要的是要记住,大多数DevOps工程师和开发人员希望他们的部署尽可能安全,但他们需要安全性整合其环境,而不是部署障碍以及使用缓慢而笨重的工具和流程削弱可扩展性和速度。
为此,安全团队应该开始学习DevOps环境中使用的DevOps工具,这通常包括Jenkins、Chef、Puppet、Salt、Ansible、GitHub等。安全团队不需要精通所有这些DevOps工具,但需要注意以下几点:
用于存储和管理代码的DevOps工具。例如,如果Jenkins用于整合GitHub。安全团队将需要知道如何管理权限、当代码签入和推出时Jenkins中可使用哪些日志。此外,源代码扫描和审查应在这个级别进行集成,以确保代码中不包含密码或加密密钥。
用于创建和管理服务器配置及部署编排的工具。Chef、Puppet和Ansible是很多环境中的常见选择,它们都有自己的定义语音和不同的配置文件。安全团队需要整合配置设置和安全策略到这些平台内的定义文件。
幸运的是,所有这些主要配置和自动化工具都有可用的配置模板和策略评估模板,并符合互联网安全中心基准、美国国防信息系统局技术部署指南和其他行业最佳做法和要求。
用于存储和访问登录凭证和密钥的DevOps工具。全面的DevOps做法会规定使用单独的平台用于控制登录凭证和密钥,例如HashiCorp Vault或Ansible Tower。监控和控制对这些平台的控制至关重要,安全团队应该能够独立审查访问并发送日志到远程日志记录库。
在构建系统进行部署时,安全团队需要定义配置设置和策略,并将其集成到正在使用的工具中。通常情况下,这些定义将使用JavaScript Object Notation或者YAML格式进行编码,这两者都易于学习。
当服务器和应用堆栈元素版本得到批准后,安全团队应该部署无法变更的基础设施,在下一个批准的修订版本确定之前,任何更改尝试都将被忽略。上述很多DevOps工具支持这种设置。例如,如果Ansible手册用于生成服务器配置,再次运行该手册将不会导致任何其他更改或问题。
为了成功整合到开发和部署过程,安全团队需要确保团队成员大部分时间都在与DevOps团队协同工具。这种方法(又是被称为DevSecOps)可确保在代码推送到生产或者任何系统在云环境构建之前,所有变更和更新都将得到妥善保护。
然而,这个部署管道整合只是整个流程的一半。安全团队还需要为云端运行的系统和应用提供自动反馈,这将在之后的文章中进行讨论。
本文转自d1net(转载)
“安全即代码”:整合安全团队和DevOps团队相关推荐
- DevOps团队结构类型汇总:总有一款适合你
前言 组织中任何DevOps工作的主要目标都是改进客户和业务的价值交付,而不是降低成本.提升自动化或者通过配置管理驱动一切:这意味着,为了实现有效的Dev和Ops协同,不同的组织可能需要不同的团队结构 ...
- 微软开发团队的DevOps实践启示
过去几年,微软的工程师团队已经接受了DevOps的工作方式,本文讲述我们在这个过程中积累的经验. \\ 纵观整个软件产业,坦白地说,从我们一路的经验来看,DevOps的实践和方式对于服务和其它产品的交 ...
- 分布式devops_维护分布式团队的DevOps心态的10个技巧
分布式devops 我是混乱的代理人之一,他热烈地指出消除障碍并认识到人是健康的DevOps心态的核心的重要性. 快进到COVID-19大流行,其中并置的团队被迫在一夜之间分散到自我隔离的分布式实体中 ...
- java团队名字_作为一名Java工程师,我在DevOps团队都经历了什么
原标题:作为一名Java工程师,我在DevOps团队都经历了什么 作者 | Milan Milosevic 译者 | 无明 我是一名 Java 工程师.每当听到其他 DevOps 工程师讲述他们遇到的 ...
- DevOps团队绩效考核重点
前面的文章中介绍了DevOps的概念以及其落地经验,参考如下: DevOps究竟能给企业解决什么问题 Devops 落地的核心和13条经验总结 今天我来介绍一下在Devops体系中对项目团队效能方面的 ...
- DevOps团队如何为网络星期一做准备
通过AppDynamics解决应用程序问题的速度提高了10倍–以最小的开销在代码级深度监视生产应用程序. 开始免费试用! 当我们带着与家人和朋友放松身心的想法进入感恩节周末时,会有一群人一直在工作或随 ...
- 理想化的DevOps团队里只需要有Dev就够了?
(图片来源于网络) 几天前,本公众号发布的一篇译文列举了9种DevOps团队结构适用类型与7种反型(点击查看原文).文章转发到朋友圈之后,很多DevOps同行留言(吐槽)了自己团队的现状,其中大部分人 ...
- SpringBoot2.x【四】自动化生成代码整合Mybatis
SpringBoot2.x[四]自动化生成代码整合Mybatis Mybatis 是一个持久层ORM框架,负责Java与数据库数据交互,也可以简易理解为中介,相对于它,还有个中介是hibernate, ...
- SSM纯注解后台代码整合(Spring+SpringMvc+Mybatis)
SSM后台整合(Spring+SpringMvc+Mybtis+事务+Rest风格+统一结果封装+统一异常处理+拦截器) 文章目录 1 基础环境搭建 1.1 建表 1.2 创建web项目 1.3 导入 ...
最新文章
- 在 tensorflow 和numpy 中矩阵的加法
- linux dhcp 负载均衡,dhcp双机负载均衡
- linux麒麟 ftp,麒麟 vsftp 搭建
- Oracle ORA-03113错误解决办法
- vagrant up default: Warning: Authentication failure. Retrying...的一些解决办法(转自myx的博客)
- ubuntu16.04 联想拯救者y7000笔记本电脑安装1060显卡驱动,及ubuntu16.04更新内核
- Excel数字小写金额转换汉字大写金额公式的简单设置
- 2021年全国职业院校技能大赛 “大数据技术与应用”—模拟赛题(四)
- Medical robotics-Regulatory, ethical, and legal considerations for increasing levels of autonomy
- 简单的哈夫曼树程序实现
- 深度学习的简介、领域、框架和实际应用概述
- 小程序(之音乐播放器实现思路)
- 教你如何微信公众号图文中怎么下载封面图
- 我的python面试简历
- iOS开发storyboard拖拽tableView: Static cells的使用
- 新年第一帖——元旦这天骑车迷路了
- 山寨电视不会成为山寨手机第二
- 音频怎么转换成文字?推荐这几个转文字的方法给你
- Single Headed Attention RNN: Stop Thinking With Your Head
- iftop(网卡实时流量监控)