使用 AWS 的 DevSecOps 简介:如何将安全性集成到 DevOps 中(上) - 嘶吼 RoarTalk – 网络安全行业综合服务平台,4hou.com

使用 AWS 的 DevSecOps 简介:如何将安全性集成到 DevOps 中(上)

walker 技术 2022-11-09 11:01:00
28095
收藏

导语:在本文中,我们向您展示了为 DevOps 增加安全性的好处、采用 DevSecOps 的主要挑战,以及使用 AWS 服务实施 DevSecOps 的最佳实践。

许多安全领导者对实施 DevOps 持怀疑态度,尽管它有很多好处,包括快速软件交付和提高代码质量。如果您发布的软件存在漏洞,那么您的持续交付周期有多快都没有关系。网络安全是 DevOps 极度缺乏的一件事。

这就是 DevSecOps 发挥作用的地方——一种将安全性转移到软件开发生命周期 (SDLC) 中的开发方法。DevSecOps 强调在最早阶段实施安全检查的重要性。

在本文中,我们向您展示了为 DevOps 增加安全性的好处、采用 DevSecOps 的主要挑战,以及使用 AWS 服务实施 DevSecOps 的最佳实践。

为什么 DevOps 不安全?

DevOps是工具、实践和文化理念的结合,可让 IT 公司减少软件开发所需的时间。这是通过打破开发、测试和运营之间的传统障碍来实现的。DevOps 实践包括软件开发过程中所有活动的自动化和监控,使公司能够实现持续集成 (CI) 和持续交付 (CD)。您可以结合DevOps 和区块链、人工智能、嵌入式、移动和其他类型的技术。

构建高效的 CI/CD 管道可以大大加快开发活动和产品发布速度,从而为解决方案供应商节省时间和金钱。

然而,如今 IT 公司实施更快、更具创新性的软件开发方法还不够。他们还需要牢记网络安全。按照设计,DevOps 缺乏安全性有以下几个原因:

image.png

DevOps 的安全挑战

  • 传统上,信息安全是在软件开发周期的最后阶段处理的,结果是检测需要在严格的时间限制内消除的安全漏洞。对于 DevOps 方法,以传统方式保护每个版本需要付出太多努力。

  • DevOps 通常通过云优先架构和容器化来实现。这些都创造了更广泛的攻击面和新的潜在漏洞。

  • 必须在每次迭代期间更新或至少检查安全机制。然而,发布团队有时会为了赶上交付期限而忽略这些建议。

幸运的是,我们有 DevSecOps:一种左移思维,其中安全是共同的责任,因此开发人员和 IT 运营专家都牢记安全要求。让我们看看 DevSecOps 与 DevOps 有何不同以及它提供了哪些好处。

什么是 DevSecOps?

DevSecOps在软件开发的早期阶段实施持续和自动化的安全机制,并确保整个周期的安全。安全不再是单独部门的职能,而是团队文化和实践中不可或缺的一部分。

将安全性集成到您的 DevOps 团队可帮助您的公司实现以下优势:

image.png

应用 DevSecOps 方法的好处

DevSecOps 使您可以将更多时间用于增加客户价值,而将更少的时间和金钱用于修复在交付过程后期或产品使用过程中发现的漏洞。但左移并非没有局限性。让我们来看看您可能遇到的主要挑战。

实施 DevSecOps 的挑战

将安全性集成到 DevOps 中需要一些组织显着转变其工作流程。这不仅会影响网络安全系统,还会影响组织和业务流程。这样的变化总会带来无数的挑战,最好提前做好准备。让我们探讨四大挑战。

image.png

实施 DevSecOps 的 4 大挑战

1.改变既定的企业文化

组织遇到的最常见问题是采用 DevSecOps 所需的文化变革。一直使用传统或敏捷开发方法的人通常难以适应完全不同的方法。

当转向 DevSecOps 时,您的团队必须学习很多关于网络安全的知识,对工作问题变得更加开放,并将安全实践作为他们日常工作的一部分。许多组织低估了这些变化的挑战性,因此未能充分实施 DevSecOps。在向 DevSecOps 过渡期间,确保为您的团队提供足够的知识、支持和领导。

2. 结合敏捷和 DevSecOps

另一个问题是一些组织试图用 DevSecOps 完全替代敏捷工作流。当这种尝试失败时,他们决定 DevSecOps 不适合他们。这里真正的挑战是以最有效的方式为您的组织结合敏捷和 DevSecOps。

DevSecOps 可以补充敏捷。虽然敏捷在开发过程中引入了协作、迭代和持续反馈,但 DevSecOps 可以加强 QA 和交付过程,同时确保您的代码始终安全。

3.遵守政府规定

对于必须遵守严格网络安全要求的行业组织而言,实施 DevSecOps 更加困难:医疗保健、制造、金融服务等。这些行业的法规不够灵活,无法让公司全面引入 DevSecOps 实践。

这就是组织通常必须将灵活且安全的 DevOps 与传统开发方法相结合的原因。美国食品和药物管理局等一些政府机构确实允许公司以他们想要的任何方式改变他们的开发实践,前提是他们能够确保高水平的安全性并重新认证他们的工作流程。

4. 集成传统、DevOps 和 DevSecOps 工具

采用 DevSecOps 也存在技术挑战。将防病毒软件和防火墙、DevOps 和 DevSecOps 工具等传统安全工具集成到一个系统中需要对组织的基础架构进行重大更改。CI/CD 管道、二进制库、静态应用程序安全测试、软件组成分析和许多其他工具通常来自不同的供应商,但您需要让它们协同工作。

克服这一挑战的最佳方法是全面规划 DevSecOps 工具的实施,并逐一部署您选择的工具。一次部署和配置它们更快,看起来更方便,但实际上它会造成混乱,并导致安全漏洞。

研究这些挑战并规划解决这些挑战的方法是顺利实施 DevSecOps 的关键。现在,我们可以看看必须具备的安全实践和机制,以确保您的 DevOps 流程是安全的。下一节我们主要讲述将安全性集成到 DevOps 中的最佳实践。


本文翻译自 :https://www.apriorit.com/dev-blog/530-delivering-devsecops-aws如若转载,请注明原文地址
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

 
本站4hou.com,所使用的字体和图片文字等素材部分来源于原作者或互联网共享平台。如使用任何字体和图片文字有侵犯其版权所有方的,嘶吼将配合联系原作者核实,并做出删除处理。
©2022 北京嘶吼文化传媒有限公司 京ICP备16063439号-1 本站由 提供云计算服务