企業的數字化程度越高，使用的云服務就越多，操作環境也就越復雜。隨著數字網絡和云服務的不斷增加，企業內部的責任分工變得越來越模糊。在大型組織中，云預算和開發資源都由各個業務部門自行管理，從而加劇了這一復雜性。盡管這對自主管理數字合作關系的部門來說可能并無大礙，但卻構成了嚴峻的安全挑戰。各方關系錯綜復雜，安全工作究竟是誰人之責?IT 部門、業務部門還是云提供商?沒有端到端的可視性，IT 管理者便很難實施集中式安全戰略和一致性的安全策略，最終重要數據將置于越來越大的風險之中。

責任共擔模式催生灰色區域

責任共擔模式下的灰色區域會帶來安全漏洞，尤其是當工具來自云市場時，情況會更為復雜。

云服務提供商通過云市場提供一系列解決方案、插件和安全解決方案。這些工具通過云服務提供商購買，看似應由云服務提供商承擔安全責任，但實際上一旦客戶配置了這些工具，就代表客戶同意對其安全性負責。但是，有時候客戶攬下了責任，卻不知道意味著什么。

對此比較好的辦法就是通過根本原因分析 (RCA) 來確定責任歸屬(廠商、提供商或客戶)。RCA 可以識別任何潛在威脅，確定事件的根本原因，然后制定行動方案。這通常包括通知關鍵利益相關者、啟動威脅分析、建立流程來協調各方之間的響應和資源，以及將相關信息數字化/映射到相關云技術。

確定安全責任

如果第一步是明確責任的大方向(廠商、提供商和客戶)，那么下一步就是將責任細化到組織內部部門。

如果組織確實承擔責任，那么管理人員必須將責任粒度細化到他們可能都不適應的級別。其中一個問題是，許多組織使用了專門的云開發策略。當今的組織通常擁有多個動態云環境，每個云環境可能都由不同的內部部門管理，他們擔心中央 IT 團隊的干預可能會妨礙他們的工作，比如影響速度、靈活性和控制力，而這些也是當初他們選擇云服務的原因。例如 DevOps，速度和效率對交付關鍵業務應用至關重要。任何影響速度的安全措施都會被視為威脅。

傳統的 IT 團隊和 DevOps 團隊通常對此意見不一。IT 團隊建議使用安全工具，而 DevOps 團隊認為安全工具是其工作中的攔路虎，與他們的主要目標背道而馳。雖然DevOps 團隊擅長應用開發，但他們卻通常缺乏安全開發知識。

DevSecOps 讓安全性能兩不誤

要想兩全其美，組織可以為每個 DevOps 小組配備一名網絡安全專家，組成一個“DevSecOps”團隊。這名 DevOps 安全專家(或專家團隊)可以指導應用開發人員履行責任共擔模式，幫助他們同時滿足開發和安全要求。他們還可以跨所有云實例提供一致的安全策略，同時確保 DevOps 團隊的開發效率。

有了 DevSecOps，這些團隊就可以高效地選擇、部署和管理工具，從而更順利地實現速度和安全性目標。以 SaaS 安全解決方案為例，基于云的 Web 應用防火墻可以進行自我擴展。而 DevSecOps 可以確保 Web 應用按需增加，同時不會影響安全性。合適的工具部署起來也不會費力，有些工具甚至內置了安全功能，覆蓋部署、維護和擴展乃至持續使用和開發過程中的所有優化。

自動化也發揮著至關重要的作用。設置完成后，自動化流程便可檢查配置并掃描惡意軟件(由于手動執行這兩個流程需要時間和資源，這兩個流程經常被擱置)。DevSecOps 團隊可以幫助選擇和設計合適的自動化云安全解決方案，以確保獲得所有合適的安全特性：

◆自動掃描公有云中的漏洞

◆自動評估工具配置

◆動態保護存儲的數據

◆查明錯誤配置

◆掃描云中的文件

◆通過防止未經授權的下載來保護敏感信息

領導者支持是關鍵

隨著數字化成為當今市場上的主要競爭優勢，領導者越發明確 Web 應用(及其管理方式)就是確保業務戰略成功的關鍵。因此，DevOps 目標現已上升到公司管理層，成為董事會上常見的議題。

但是，由于高管們一心想要加快數字化轉型，他們并沒有意識到冒進的云化和專有應用的開發導致了安全問題復雜化，因此安全風險急劇攀升。

從 DevOps 到 DevSecOps 的演進意味著，安全性從開發新云實例的第一天起就被放在了首位。DevSecOps 團隊可以開發必要的 RCA 云安全手冊，確保這些準則的落地執行。他們還可以幫助企業選擇安全解決方案，保護其不斷增長的數字資源，同時防止意外風險進入環境。此外，由于 DevSecOps 能夠防止企業違規和受到經濟處罰，他們甚至可以直接影響企業的利潤。

DevSecOps 的上述任何一項優勢都值得獲得高管們的重視和全力支持。