DevOps 專業人員如何成為網路安全擁護者
安全是 DevOps 中一個被誤解了的部分,一些人認為它不在 DevOps 的範圍內,而另一些人認為它太過重要(並且被忽視),建議改為使用 DevSecOps。無論你同意哪一方的觀點,網路安全都會影響到我們每一個人,這是很明顯的事實。
每年,黑客行為的統計數據 都會更加令人震驚。例如,每 39 秒就有一次黑客行為發生,這可能會導致你為公司寫的記錄、身份和專有項目被盜。你的安全團隊可能需要花上幾個月(也可能是永遠找不到)才能發現這次黑客行為背後是誰,目的是什麼,人在哪,什麼時候黑進來的。
運維專家面對這些棘手問題應該如何是好?吶我說,現在是時候成為網路安全的擁護者,變為解決方案的一部分了。
孤島勢力範圍的戰爭
在我和我本地的 IT 安全(ITSEC)團隊一起肩並肩戰鬥的歲月里,我注意到了很多事情。一個很大的問題是,安全團隊和 DevOps 之間關係緊張,這種情況非常普遍。這種緊張關係幾乎都是來源於安全團隊為了保護系統、防範漏洞所作出的努力(例如,設置訪問控制或者禁用某些東西),這些努力會中斷 DevOps 的工作並阻礙他們快速部署應用程序。
你也看到了,我也看到了,你在現場碰見的每一個人都有至少一個和它有關的故事。一小撮的怨恨最終燒毀了信任的橋樑,要麼是花費一段時間修復,要麼就是兩個團體之間開始一場小型的地盤爭奪戰,這個結果會使 DevOps 實現起來更加艱難。
一種新觀點
為了打破這些孤島並結束勢力戰爭,我在每個安全團隊中都選了至少一個人來交談,了解我們組織日常安全運營里的來龍去脈。我開始做這件事是出於好奇,但我持續做這件事是因為它總是能帶給我一些有價值的、新的觀點。例如,我了解到,對於每個因為失敗的安全性而被停止的部署,安全團隊都在瘋狂地嘗試修復 10 個他們看見的其他問題。他們反應的莽撞和尖銳是因為他們必須在有限的時間裡修復這些問題,不然這些問題就會變成一個大問題。
考慮到發現、識別和撤銷已完成操作所需的大量知識,或者指出 DevOps 團隊正在做什麼(沒有背景信息)然後複製並測試它。所有的這些通常都要由人手配備非常不足的安全團隊完成。
這就是你的安全團隊的日常生活,並且你的 DevOps 團隊看不到這些。ITSEC 的日常工作意味著超時加班和過度勞累,以確保公司,公司的團隊,團隊里工作的所有人能夠安全地工作。
成為安全擁護者的方法
這些是你成為你的安全團隊的擁護者之後可以幫到它們的。這意味著,對於你做的所有操作,你必須仔細、認真地查看所有能夠讓其他人登錄的方式,以及他們能夠從中獲得什麼。
幫助你的安全團隊就是在幫助你自己。將工具添加到你的工作流程里,以此將你知道的要乾的活和他們知道的要乾的活結合到一起。從小事入手,例如閱讀公共漏洞披露(CVE),並將掃描模塊添加到你的 CI/CD 流程里。對於你寫的所有代碼,都會有一個開源掃描工具,添加小型開源工具(例如下面列出來的)在長遠看來是可以讓項目更好的。
容器掃描工具:
代碼掃描工具:
Kubernetes 安全工具:
保持你的 DevOps 態度
如果你的工作角色是和 DevOps 相關的,那麼學習新技術和如何運用這項新技術創造新事物就是你工作的一部分。安全也是一樣。我在 DevOps 安全方面保持到最新,下面是我的方法的列表。
- 每周閱讀一篇你工作的方向里和安全相關的文章.
- 每周查看 CVE 官方網站,了解出現了什麼新漏洞.
- 嘗試做一次黑客馬拉松。一些公司每個月都要這樣做一次;如果你覺得還不夠、想了解更多,可以訪問 Beginner Hack 1.0 網站。
- 每年至少一次和那你的安全團隊的成員一起參加安全會議,從他們的角度來看事情。
成為擁護者是為了變得更好
你應該成為你的安全的擁護者,下面是我們列出來的幾個理由。首先是增長你的知識,幫助你的職業發展。第二是幫助其他的團隊,培養新的關係,打破對你的組織有害的孤島。在你的整個組織內建立由很多好處,包括設置溝通團隊的典範,並鼓勵人們一起工作。你同樣能促進在整個組織中分享知識,並給每個人提供一個在安全方面更好的內部合作的新契機。
總的來說,成為一個網路安全的擁護者會讓你成為你整個組織的擁護者。
via: https://opensource.com/article/19/9/devops-security-champions
作者:Jessica Repka 選題:lujun9972 譯者:hopefully2333 校對:wxy
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive