写点什么

DevSecOps:把合规融入 DevOps

用户头像
啸天
关注
发布于: 2021 年 01 月 12 日
DevSecOps:把合规融入DevOps

在当今快节奏的商业环境中,DevOps 和 SecOps 必须建立桥梁来创建 DevSecOps。



既然“X-as-a-service”模式已经深入人心,那么企业基础设施、集成和解决方案交付的速度已经迅速加快。瀑布方法论已经让位于快速、持续开发和交付的敏捷方法。这就需要使用自动化来加速 QA 和变更管理。

在所有这些变化和活动中,一个更深层次的目标是使安全和合规从一开始就成为开发过程的一部分。为了取得成功,团队必须在这些方面采取 DevOps 的思维方式,即优先考虑快速交付和自动化工作流。

棘手的是,到目前为止,DevOps、SecOps 和合规的优先级是不同的。DevOps 专注于策略管理、监控、代码检查和风险缓解。SecOps 需要预测风险,并确保控制措施可追溯性地降低合规性和安全风险。固有的冲突来自一种传统观点,即安全审查应该在软件开发之后进行,作为最终检查,但最终会变成一个不稳定的过程,将必要的控制协调到发布周期中。


DevOps 和 SecOps 之间有一种天然的紧张关系,因为它们有不同的章程和文化,所以实现共享责任的想法可能很困难。DevOps 可以被看作是一种 do 文化(Atlassian 称之为“do ocracy”),而 SecOps 可以被看作是一种控制文化,它们天生就存在冲突。为了实现团队合作分担责任的承诺,DevOps 和 SecOps 应该在三个关键目标上保持一致:协作、沟通和集成。

DevOps 中协作的好处

 

强调组织的运维、开发、测试和支持团队之间的协作是 DevOps 的全部内容。重点是通过快速开发和推广来缩短上市时间和提高灵活性。然而,在开发过程开始之前,您需要从一个计划开始。在开发的规划阶段,可以开始将安全和合规结合起来。

组织需要建立一个记录系统来实施和协调开发计划的 SecOps 部分。策略和控制可以在产品和工程团队中广泛传播,以记录控制的意图,定义其实现,并使团队能够在一个中心与评论和反馈协作。

缩小 DevOps 的鸿沟

 

在安全功能和开发人员组织的其他部分之间存在一个沟通鸿沟,安全从业者弥合这个鸿沟是至关重要的。其他团队可能会轻蔑地看待合规和安全,那是因为他们不理解合规和安全,也看不到合规 i 和安全与用户生活的相关性。但这也是可以改变的。

例如,最好从项目延迟和计划外、计划外的工作来谈论安全风险,而不是谈论漏洞或漏洞。在与运营团队交谈时,最好讨论与平均响应时间或系统正常运行时间相关的可用性和用户隐私要求,而不是数据泄露。为了在一个以 DevOps 的速度发展的世界中取得成功,安全组需要能够用 DevOps 所使用的语言和工具(如 Jira 和 GitHub)表达控制需求。



将 Sec 集成到 Dev 中

 

对于安全从业人员来说,这里最根本的流程偏离通常是 DevOps 中的高度自动化和工作流工具。集成安全和开发操作的关键成功因素是使控制实施简单明了,便于开发人员遵循。例如,如果团队正在努力通过 SOC2 安全认证,那么一个明确的控制框架分解成任务和问题将确保安全顺利集成到开发周期中。SOC2 认证还需要在整个软件开发生命周期(SDLC)中实施控制的证据验证,包括发布周期。通过安全认证的最后一个关键环节是在一个中心位置为您的观察期提供集成的风险评估、控制差距分析和审计准备证据。



DevSecOps:更团结,更安全

 

在一切都“X-as-a-Service”提供的世界里,快速而不间断地迭代是一种压力。为了实现这一点,DevOps 方法依赖于自动化带来的速度。但有时为了提高速度而忽视了安全。这意味着安全也需要自动化,以跟上持续交付的步伐。DevOps 和 SecOps 的划分必须桥接起来才能创建 DevSecOps。

了解这种合作的好处将大大有助于缓和过渡,学习如何用一种吸引所有利益相关者的语言来传达这些好处也将大有裨益。使协作成为可能的是对整个开发团队的安全和合规进行协调和解密。当 DevSecOps 对于开发人员来说集成安全是简单明了的时候,就没有理由不集成安全了,您的产品和组织将更加安全。



原文:https://devops.com/devsecops-bringing-compliance-to-devops/

发布于: 2021 年 01 月 12 日阅读数: 124
用户头像

啸天

关注

安全不是某个人的事情,而是所有人的事情。 2012.05.08 加入

CISSP,安全架构师,AWS认证安全专家,OWASP中国广东分会负责人

评论

发布
暂无评论
DevSecOps:把合规融入DevOps