企業采用DevOps意味著開發進行將比以往任何時候都要快。那么如何確保一切都是安全的，尤其是將業務遷移到云端時?行業專家對如何在不留下大量安全漏洞的情況下保持一切順利進行了研究。

[[275665]]

為了讓企業在未來幾年蓬勃發展，業務可能會以云計算為基礎。亞馬遜網絡服務(AWS)公司自從2002年推出公共云以來，云計算業務成為企業的主要增長領域。

調研機構Gartner公司預測， 2022年全球云計算服務市場規模和增長率幾乎是整體IT服務的三倍。云計算服務無疑正在顛覆各個行業的發展，越來越多的企業采用云優先戰略。

如今，數字化轉型正在引領企業的業務增長，云計算加速了這一轉變，簡化了流程，促進了團隊之間的協作。云計算的作用還包括：

• 使用開發和運行應用程序所需的按需計算能力替換昂貴的硬件，并降低相關的管理和運營成本;
• 使應用程序和底層微服務能夠快速擴展，而無需鎖定任何特定的硬件配置。
• 簡化IT管理選項，同時提高內部IT基礎設施的可靠性。

盡管如此，像任何革命性的轉變一樣，云遷移也會帶來影響人們應該如何安全地推進業務的變化。

了解云原生架構的影響和新的安全挑戰

企業首先需要了解云計算將如何影響DevOps和安全環境。云計算架構如何改變業務具有兩個重大影響、相互依存的趨勢：基于新架構的技術催化劑，以及業務流程挑戰將如何在基礎設施中引起反響。

云端的技術挑戰

云計算是一種技術性的游戲改變者。由于傳統的安全問題讓位于云中出現的新安全概念，因此需要權衡利弊。從良好的一方面來說，云計算將擴大業務規模，并要求運營團隊學習更多的專業知識。

解決首席技術官和首席安全官及其內部團隊以前必須承擔的許多問題。構建、維護、保護計算資源的物理設施不再是開發成功的試金石。例如，一旦遷移到云端，就不必擔心備份是內部部署還是外部部署。然而，云計算帶來了一些顯著的安全挑戰：容器安全性以及管理員不斷發展的IT專業知識。

新環境要求更多地依賴API。但是，傳統的解決方案并不是為處理API級的漏洞而設計的，而且隨著API的發展，網絡攻擊變得越來越復雜。企業需要管理和傳遞復雜的數據結構，執行應用程序邏輯，并在各個容器之間提供流量，從而協調操作Web應用程序。此外，還有許多類型的API：面向用戶的API提供在瀏覽器中顯示的信息;東西流量API將應用程序和微服務連接在一起;服務API允許監視、警報和應用程序管理;移動后端API使設備，如iPhone等真正智能​​化設備。還有一個完整的第三方生態系統，它完全通過API提供數據服務。例如，任何移動應用程序或網站現在都可以以適中的費用訂閱API，向應用程序提供天氣或交通信息。

API是現代體系結構的基礎，并滲透到處理最敏感數據的應用程序中。但是，API使用不同的語言或協議，這使得它們很難監控。這就是為什么有API優化的安全性是至關重要的，以確保內部API和任何傳入數據都被仔細監視和標記，并且問題得到適當的優先處理和解決。

新體系結構面臨的另一個主要挑戰是對容器和微服務的依賴。像Kubernetes這樣的微服務管理系統簡化了遷移。它們可以在私有云和公共云中使用，如Google、Azure或Amazon。盡管如此，這些系統有自己的一套安全概念。例如，即使企業的入口控制器上安裝了一個解決方案，也需要確保它能夠跟上流量和云計算規模的自動擴展。但沒有人愿意為了速度犧牲安全。

此外，云計算的靈活性意味著，管理對基礎設施的訪問可能是一個挑戰，而訪問云計算管理層可以獲得控制權。重要的是要確保訪問點的安全并限制共享憑據，以避免它們受到危害。與其為根帳戶創建訪問密鑰，不如實現可靠的基于角色的訪問控制(RBAC)。

最后，采用者對安全工具和最佳實踐的關注不夠。如今出現了很多新興技術，使得保護這一新的計算前沿變得復雜起來。快速采用的問題在于，這些新技術、基礎設施以及更大數量的工具和第三方并不是既定課程的一部分，很少有人了解大局或細節。

適用于云計算的新DevOps

除了技術革新之外，云計算還與業務流程的重大變化和挑戰緊密相關。

云計算和特定DevOps流程的加速演變是相關的。為了真正解決云中的安全問題，人們必須解決安全性如何與現有DevOps工作流程集成的問題。

快速的開發周期意味著預測和引入生產需求以及不可能提前測試。在采購過程中的一切操作，從物理服務器的部署到基本的訂購，都必須跟上發展。因此，DevOps是一種自然的合并。

云計算的靈活性是處理不可預測的服務器負載和架構、最終用戶以及從持續集成(CI)/持續交付(CD)變量的推動因素。如果沒有內部部署和公共云架構的必然結果，很難想象持續集成(CI)/持續交付(CD)的發展速度。但這些快速的持續集成(CI)/持續交付(CD)流程正在改變業務預期，并加強了向市場交付的競爭。

更快的開發周期對業務的技術影響不容忽視。企業了解到保險公司可以提供數據保護網絡保險，并尋求有助于量化違規風險和安全保護質量的答案。人們認為監管討論將會影響技術采購和地理位置。即使企業向開源社區投入數十億美元的研發費用，有關安全責任和影響的問題仍然存在。

對于他們來說，企業團隊必須優先考慮安全和組織內的最佳實踐。DevOps團隊可能會抵制這些變化，因為他們必須獲得新的技能集才能安全有效地管理DevOps和持續集成(CI)/持續交付(CD)流程。但是，企業的整體安全健康取決于每個人理解他們在安全意識和維護等方面的作用。

為了跟上快速持續集成(CI)/持續交付(CD)工作流中業務和技術轉型的一致性、安全性必須適應云計算。它不僅必須部署在新技術架構的關鍵領域，還必須與新的業務實踐相結合。安全性必須與云計算本身一樣靈活，響應迅速，并且功能強大。

誰需要負責云計算安全?

遷移到云端的最明顯轉變是外包。企業的物理硬件和數據基礎設施不再完全屬于其職權范圍。當數據通過基礎設施即服務(IaaS)或平臺即服務(PaaS)時，那么誰需要負責安全性?

企業與云計算提供商合作可以將二者之間的安全責任分開。企業團隊需要了解他們負責保護的整體解決方案，以及保護這些解決方案的最佳實踐。

總體而言，云計算提供的強大功能和敏捷性正在加快開發周期，使新的更改不能影響安全性。這就是開發周期包含安全基礎設施和最佳實踐的重要性的原因。

例如，企業不知道需要重點保護哪些基礎結構層，這可能會導致發生數據泄露等事件。根據Verizon公司2019年數據泄露的調查報告，企業內部員工所犯的錯誤占所有數據泄露事件的34%。這些違規行為給企業帶來了慘重的財務和聲譽損失，而中小型企業難以承受這些損失而破產。

技術解決方案還有助于了解DevOps工作流程的緊迫性，并幫助將安全測試和解決方案集成到工具鏈和工作流程中。但是，這些工具和解決方案最終將依賴于DevOps內部的安全措施，而不是單獨的安全團隊。

云計算提供商在安全責任和客戶端責任方面的份額

企業與公共云提供商合作的一個主要好處是，提供商非常重視安全性和合規性。云計算提供商在保護云計算環境方面投入了大量資金，以確保比內部部署環境更安全。公共云提供商運營和管理服務器位置、硬件本身、主機操作系統、虛擬化層的物理訪問安全性。或者簡而言之，它提供為企業業務服務的基礎設施。

DevOps團隊負責保護企業數據、操作系統、應用程序邏輯和端點。雖然與云計算提供商分擔安全責任可以減輕管理負擔，但重要的是使持續維護成為持續集成(CI)/持續交付(CD)流程的一部分，而不只是依靠云計算提供商來處理。另外值得一提的是，使用開源組件的開發人員必須維護這些資源，以確保不會帶來漏洞。這可以通過運營發現來識別和跟蹤所有開源組件來完成。

為了根據不同組織的特定需求提供量身定制的服務，云計算提供商提供了幾種云計算模型，包括軟件即服務(SaaS)、平臺即服務(PaaS)和基礎設施即服務(IaaS)，每種模型都涵蓋不同級別的數字解決方案以及相應的安全。

根據云計算標準客戶委員會(CSCC)的說法，當用戶從SaaS遷移到PaaS到IaaS時，其責任往往會增加。

使用SaaS模型的團隊在安全方面參與最少，因為他們使用的是預先設計好的服務，而云計算提供商則負責處理所有的技術方面。這意味著他們可以依靠提供者來管理基礎設施、軟件棧，以及大多數相關的應用程序邏輯。

對于安全所有權和責任，企業團隊應檢查其首選云計算服務提供商的服務級別協議。一旦團隊清楚地了解了他們的安全職責，他們就可以將時間集中在保護自己的組件上，并確保他們的云計算提供商將處理剩下的組件。這種政策一個很好的例子是AWS公司的共享責任模型。它清楚地記錄了客戶對其AWS基礎設施中的數據、API和軟件堆棧的責任。

在云遷移的安全解決方案中需要注意什么?

依靠云計算提供商進行監控和保護是企業安全面臨的巨大挑戰。以AWS公司為例。作為早期的IaaS提供商之一，AWS公司奠定了用戶基礎，并花費了大量資源來教育客戶。AWS公司強制執行服務。他們采取了令人難以置信的措施來確保他們提供的物理設施和技術安全性。因此，企業通常不太擔心網絡安全、服務器、路由器等問題。但是，AWS公司也非常了解應用程序所有者負責的其他組件。

正如AWS公司對云計算安全共同責任立場所解釋的那樣，他們負責管理系統。但是，應用程序中的數據、與用戶相關的安全性以及企業如何采用應用程序都不在他們的管轄范圍之內。甚至還有一些論點指出，試圖確保這一點可能意味著企業過度擴張或阻礙了進展。

只是相信開發商和提供商將會保護應用程序和微服務是不夠的。企業必須確保自己的軟件解決方案在邏輯級別是安全的，這是發生變化最多的地方。企業需要尋找：

• 在應用程序級別部署的工具
• 在持續集成(CI)/持續交付(CD)中運行的解決方案
• 不增加資源需求的集成工具集和流程
• 允許靈活響應的自動化

這是安全管理云平臺并將企業的業務轉變為強大靈活的解決方案的一部分。

支持安全的API和微服務使企業能夠靈活地擴展云計算。無論企業是決定補充現有的技術堆棧，還是完全轉向新一代的容器和微服務，都非常關注這一新的動態基礎設施是如何、在哪里以及由誰來管理的。這就是需要新的治理過程和自動化策略的地方。采用云計算是企業的業務轉型之一。

安全性必須與企業業務運作的具體情況相適應，并且只在特定的環境中才能有效。這并不總是意味著繁瑣的自定義，但這意味著企業需要能夠適應并運營基礎設施、業務邏輯和流量的解決方案。在更深層次安裝的機器學習使企業業務獨一無二，這是確保這一點的一種方法。

鼓勵DevOps和安全團隊之間的協作

除了技​​術影響之外，云計算將需要在組織上進行新的重組。例如，如果企業負責管理云平臺，那么組織結構圖是什么樣的?誰對風險承擔責任?首席信息安全官和首席技術官的角色將如何變化?安全專家如何適應企業的組織結構?

傳統上，企業開發、運營、安全團隊在孤島中工作。隨著開發和運營融入統一的DevOps實踐，問題在于DevOps是否從根本上削弱了安全性。在DevOps中，開發速度是決策制定的首要考慮因素，特別是在使用外部軟件和平臺時，安全性往往是事后的想法。隨著新威脅和脆弱性的引入，安全格局正在迅速變化，這一挑戰進一步擴大。

企業期望開發商一夜之間成為安全專家是不現實的。然而，隨著應用程序開發速度的提高，以適應當今企業所需的速度和靈活性，許多企業沒有在其產品中構建安全性。

為了解決這個問題，DevOps和安全團隊需要進行協作，以便從開發生命周期的開始階段就將安全性納入其中。

為了最好地整合角色，應考慮以下一些關鍵的最佳實踐：

• 考慮質量保證。最重要的是建立一種將安全視為高質量產品的推動者、共同責任和首要任務的文化。它應該被視為應用程序性能和用戶體驗的關鍵指標之一。
• 將安全性集成到DevOps中。DevOps過程的所有部分涉及安全團隊或指定安全角色，以確保從一開始就具有透明度和協作性;安全團隊可以檢測應用程序特定的漏洞，并提供可操作的DevOps建議，這將為安全編碼實踐提供信息。
• 支持開發人員。由于大多數開發人員對需要注意的內容了解有限，所以在團隊中任命安全管理人員是一件好事。他們可能不像白帽黑客那樣有深入的知識，但在安全方面有足夠的參與度，以理解其概念并知道在哪里尋找合適的工具和資源。
• 獲得正確的工具和工具鏈。部署可以管理安全任務的自動化工具，使小型安全團隊能夠更多地關注關鍵優先級，例如定義框架并更加關注開發過程;在云端和持續集成(CI)/持續交付(CD)過程中自動生成和運行安全測試的工具將有助于實現這一目標。
• 加強編碼。最后，許多安全問題來自最明顯的錯誤。組織需要投資培訓開發人員以在云中安全地編碼，并將安全測試作為流程的一部分。通過機器學習監控代碼的高級安全解決方案可以在代碼中找到漏洞，幫助開發人員增強代碼運行的穩定性。