Fortinet:上云必備 | 通過 DevSecOps 明確云安全責任
責編:gltian |2020-01-09 15:14:30企業(yè)的數(shù)字化程度越高,使用的云服務就越多,操作環(huán)境也就越復雜。隨著數(shù)字網(wǎng)絡和云服務的不斷增加,企業(yè)內(nèi)部的責任分工變得越來越模糊。在大型組織中,云預算和開發(fā)資源都由各個業(yè)務部門自行管理,從而加劇了這一復雜性。
盡管這對自主管理數(shù)字合作關(guān)系的部門來說可能并無大礙,但卻構(gòu)成了嚴峻的安全挑戰(zhàn)。各方關(guān)系錯綜復雜,安全工作究竟是誰人之責?IT 部門、業(yè)務部門還是云提供商?沒有端到端的可視性,IT 管理者便很難實施集中式安全戰(zhàn)略和一致性的安全策略,最終重要數(shù)據(jù)將置于越來越大的風險之中。
責任共擔模式催生灰色區(qū)域
責任共擔模式下的灰色區(qū)域會帶來安全漏洞,尤其是當工具來自云市場時,情況會更為復雜。
云服務提供商通過云市場提供一系列解決方案、插件和安全解決方案。這些工具通過云服務提供商購買,看似應由云服務提供商承擔安全責任,但實際上一旦客戶配置了這些工具,就代表客戶同意對其安全性負責。但是,有時候客戶攬下了責任,卻不知道意味著什么。
對此最好的辦法就是通過根本原因分析 (RCA) 來確定責任歸屬(廠商、提供商或客戶)。RCA 可以識別任何潛在威脅,確定事件的根本原因,然后制定行動方案。這通常包括通知關(guān)鍵利益相關(guān)者、啟動威脅分析、建立流程來協(xié)調(diào)各方之間的響應和資源,以及將相關(guān)信息數(shù)字化/映射到相關(guān)云技術(shù)。
確定安全責任
如果第一步是明確責任的大方向(廠商、提供商和客戶),那么下一步就是將責任細化到組織內(nèi)部部門。
如果組織確實承擔責任,那么管理人員必須將責任粒度細化到他們可能都不適應的級別。其中一個問題是,許多組織使用了專門的云開發(fā)策略。當今的組織通常擁有多個動態(tài)云環(huán)境,每個云環(huán)境可能都由不同的內(nèi)部部門管理,他們擔心中央 IT 團隊的干預可能會妨礙他們的工作,比如影響速度、靈活性和控制力,而這些也是當初他們選擇云服務的原因。例如 DevOps,速度和效率對交付關(guān)鍵業(yè)務應用至關(guān)重要。任何影響速度的安全措施都會被視為威脅。
傳統(tǒng)的 IT 團隊和 DevOps 團隊通常對此意見不一。IT 團隊建議使用安全工具,而 DevOps 團隊認為安全工具是其工作中的攔路虎,與他們的主要目標背道而馳。雖然 DevOps 團隊擅長應用開發(fā),但他們卻通常缺乏安全開發(fā)知識。
DevSecOps 讓安全性能兩不誤
要想兩全其美,組織可以為每個 DevOps 小組配備一名網(wǎng)絡安全專家,組成一個“DevSecOps”團隊。這名 DevOps 安全專家(或?qū)<覉F隊)可以指導應用開發(fā)人員履行責任共擔模式,幫助他們同時滿足開發(fā)和安全要求。他們還可以跨所有云實例提供一致的安全策略,同時確保 DevOps 團隊的開發(fā)效率。
有了 DevSecOps,這些團隊就可以高效地選擇、部署和管理工具,從而更順利地實現(xiàn)速度和安全性目標。以 SaaS 安全解決方案為例,基于云的 Web 應用防火墻可以進行自我擴展。而 DevSecOps 可以確保 Web 應用按需增加,同時不會影響安全性。合適的工具部署起來也不會費力,有些工具甚至內(nèi)置了安全功能,覆蓋部署、維護和擴展乃至持續(xù)使用和開發(fā)過程中的所有優(yōu)化。
自動化也發(fā)揮著至關(guān)重要的作用。設置完成后,自動化流程便可檢查配置并掃描惡意軟件(由于手動執(zhí)行這兩個流程需要時間和資源,這兩個流程經(jīng)常被擱置)。DevSecOps 團隊可以幫助選擇和設計合適的自動化云安全解決方案,以確保獲得所有合適的安全特性:
- 自動掃描公有云中的漏洞
- 自動評估工具配置
- 動態(tài)保護存儲的數(shù)據(jù)
- 查明錯誤配置
- 掃描云中的文件
- 通過防止未經(jīng)授權(quán)的下載來保護敏感信息
領導者支持是關(guān)鍵
隨著數(shù)字化成為當今市場上的主要競爭優(yōu)勢,領導者越發(fā)明確 Web 應用(及其管理方式)就是確保業(yè)務戰(zhàn)略成功的關(guān)鍵。因此,DevOps 目標現(xiàn)已上升到最高管理層,成為董事會上常見的議題。
但是,由于高管們一心想要加快數(shù)字化轉(zhuǎn)型,他們并沒有意識到冒進的云化和專有應用的開發(fā)導致了安全問題復雜化,因此安全風險急劇攀升。
從 DevOps 到 DevSecOps 的演進意味著,安全性從開發(fā)新云實例的第一天起就被放在了首位。DevSecOps 團隊可以開發(fā)必要的 RCA 云安全手冊,確保這些準則的落地執(zhí)行。他們還可以幫助企業(yè)選擇安全解決方案,保護其不斷增長的數(shù)字資源,同時防止意外風險進入環(huán)境。此外,由于 DevSecOps 能夠防止企業(yè)違規(guī)和受到經(jīng)濟處罰,他們甚至可以直接影響企業(yè)的利潤。
DevSecOps 的上述任何一項優(yōu)勢都值得獲得高管們的重視和全力支持。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡與信息法治建設回顧