安全是 DevOps 中一个被误解的要素。有些人认为它超出了 DevOps 的范围,而另一些人则认为它非常重要(且被忽视),以至于建议转向 DevSecOps。无论您对它所属的位置持何种观点,安全显然影响着每个人。
每年,关于黑客攻击的统计数据 变得越来越令人担忧。例如,每 39 秒就会发生一次黑客攻击,这可能导致您公司的记录、身份和专有项目被盗。您的安全团队可能需要数月(甚至永远)才能发现黑客攻击背后的原因、内容、地点或时间。
运营专业人员应该如何应对这些可怕的问题?我认为现在是我们通过成为安全卫士来成为解决方案的一部分的时候了。
孤岛效应和地盘之争
在多年与本地 IT 安全 (ITSEC) 团队并肩工作的过程中,我注意到了很多事情。其中一个重要的方面是,DevOps 和安全之间非常常见紧张关系。这种紧张关系几乎总是源于安全团队为防止漏洞(例如,通过设置规则或禁用某些功能)所做的努力,这些努力会中断 DevOps 的工作并阻碍他们快速部署应用程序的能力。
您见过这种情况,我也见过这种情况,您在现场遇到的每个人都至少有一个关于这种情况的故事。一小部分积怨演变成一座难以修复的桥梁——或者各团队开始一场小规模的地盘之争,由此产生的孤岛效应使得实现 DevOps 变得不可能。
获得新的视角
为了尝试打破这些孤岛效应并结束地盘之争,我至少与每个安全团队中的一人交谈,以了解我们组织中日常安全运营的来龙去脉。我最初这样做是出于一般的好奇心,但我坚持下来是因为它总是给我带来有价值的新视角。例如,我了解到,对于每次由于安全失败而停止的部署,ITSEC 团队都在拼命尝试修补他们发现的其他 10 个问题。他们的鲁莽和快速反应是因为他们在问题变得严重之前修复问题的时间有限。
考虑一下找到、分析和撤销已完成的工作需要多少知识。或者在没有背景信息的情况下弄清楚 DevOps 团队正在做什么,然后复制和测试它。并且所有这些工作都需要他们通常人手严重不足的安全团队来完成。
这就是您的安全团队的日常生活,而您的 DevOps 团队并没有看到这一点。ITSEC 的日常工作可能意味着加班和过度工作,以确保公司、其团队以及其团队正在生产的专有工作是安全的。
成为安全卫士的方法
这就是成为您自己的安全卫士可以提供帮助的地方。这意味着——对于您所做的每一件事——您都必须认真审视某人可能登录它的所有方式以及可能从中获取的内容。
帮助您的安全团队帮助您。将工具引入您的管道,以整合您知道哪些工具可以工作以及他们知道哪些工具可以工作的内容。从阅读通用漏洞和暴露 (CVE) 并将扫描功能添加到您的 CI/CD 管道等小事开始。对于您构建的每一项内容,都有一个开源扫描工具,添加小型开源工具(如下所示的工具)可以在长期内发挥更大的作用。
容器扫描工具
代码扫描工具
Kubernetes 安全工具
保持您的 DevOps 思维
如果您担任与 DevOps 相关的角色,那么学习新技术以及如何使用新技术创造新事物是工作的一部分。安全也不例外。以下是我保持安全领域最新动态并保持 DevOps 思维的方法列表。
- 每周阅读一篇关于您正在从事的任何工作的安全相关的文章。
- 每周查看 CVE 网站,了解最新动态。
- 尝试参加黑客马拉松。有些公司每月举办一次黑客马拉松;如果您的公司没有举办并且您想了解更多信息,请查看 Beginner Hack 1.0 网站。
- 尝试每年与您的安全团队成员一起参加至少一次安全会议,从他们的角度看问题。
成为优秀的卫士
您应该成为自己的安全卫士有几个原因。首要原因是为了进一步扩展您的知识并提升您的职业生涯。第二个原因是为了帮助其他团队,培养新的关系,并打破损害您组织的孤岛效应。在您的组织中建立友谊有很多好处,包括树立弥合团队隔阂的良好榜样,并鼓励人们共同努力。您还将促进整个组织的知识共享,并为每个人提供对安全的新认识和更大的内部合作。
总的来说,成为安全卫士将使您成为整个组织中优秀的卫士。
2 条评论