在安全性方面 DevOps被遺忘的團(tuán)隊(duì)

由于DevOps的動(dòng)態(tài)特性以及他們可以訪問的業(yè)務(wù)“秘密”，安全廠商Cyber??Ark強(qiáng)調(diào)了確保這些團(tuán)隊(duì)免受威脅環(huán)境影響的重要性。

根據(jù)Cyber??Ark亞太和解決方案工程高級(jí)總監(jiān)Jeffrey Kok的說法，將DevOps暴露給元素意味著特權(quán)帳戶憑據(jù)(如SSH密鑰，API密鑰和其他憑據(jù))在整個(gè)IT基礎(chǔ)架構(gòu)中快速增長 - 火災(zāi)步伐，給組織帶來巨大的安全風(fēng)險(xiǎn)。

該Cyber??Ark先進(jìn)威脅景觀2018米的亮點(diǎn)是安全75%的被調(diào)查者報(bào)告了他們的組織沒有實(shí)施了DevOps的特權(quán)帳戶的安全解決方案。

當(dāng)60%的DevOps受訪者表示他們將特權(quán)帳戶或管理密碼存儲(chǔ)在公司PC或筆記本電腦上的文檔中時(shí)，這可能會(huì)出現(xiàn)問題。

52%的DevOps受訪者表示他們依賴其云或DevOps供應(yīng)商的本機(jī)機(jī)密功能進(jìn)行保護(hù)。

“這可能是一種冒險(xiǎn)的方法，因?yàn)樗鼤?huì)產(chǎn)生單獨(dú)的安全孤島，難以通過整體安全策略進(jìn)行管理，” 報(bào)告稱。

由于受訪者能夠提供多個(gè)答案，50%的受訪者表示他們采用付費(fèi)秘密解決方案; 37%的受訪者表示他們使用的是采用開源軟件構(gòu)建的系統(tǒng)。

“大多數(shù)時(shí)候，當(dāng)應(yīng)用程序上線時(shí)，安全人員會(huì)被帶進(jìn)來，”Kok告訴ZDNet。

43%的受訪者確認(rèn)安全團(tuán)隊(duì)總是在每個(gè)開發(fā)周期結(jié)束時(shí)被引入，Cyber??Ark指出，只有當(dāng)sprint的平均長度大約一周左右時(shí)，這可能就足夠了。

雖然Kok表示組織將安全人才更早地引入開發(fā)過程似乎“有點(diǎn)令人生畏”，但一旦這個(gè)概念被接受，他說，最終結(jié)果是更好的用戶體驗(yàn)。

“這是關(guān)鍵差距之一，”他解釋道。

最有效的業(yè)務(wù)策略將要求安全性和DevOps密切合作，這就是為什么Kok提出“SecOps”的想法 - 應(yīng)用程序的設(shè)計(jì)與操作，但也考慮到安全性。

“安全設(shè)計(jì)，”科克重申道。“最有效的策略將要求安全性和DevOps從一開始就在整個(gè)開發(fā)，測(cè)試和部署中緊密合作。”

該報(bào)告稱，由于DevOps是一門相對(duì)較新的學(xué)科，因此受訪者表示DevOps與安全團(tuán)隊(duì)之間缺乏集成并不奇怪。

Cyber??Ark表示，雖然合作因行業(yè)而異，但發(fā)現(xiàn)DevOps與安全性之間的密切合作最常見于消費(fèi)者服務(wù)，技術(shù)和電信領(lǐng)域。金融服務(wù)組織的合作報(bào)告略低于平均水平，只有16%的醫(yī)療保健受訪者表示他們的安全性和DevOps團(tuán)隊(duì)“整合得很好”。

“今天，當(dāng)所有東西都在云上，并且你有很多自動(dòng)化工具時(shí)，DevOps可以使用5到20個(gè)工具，所有這些工具都包含秘密......只有一個(gè)會(huì)打破整個(gè)鏈條，”他解釋道。“我們的想法是沒有'安全島'。

“如果DevOps可以將兩個(gè)團(tuán)隊(duì)聚集在一起，那么為什么不能讓SecOps再加上一個(gè)團(tuán)隊(duì)。”

盡管Kok主要關(guān)注APJ地區(qū)，但他表示報(bào)告中提出的問題涵蓋了全球的DevOps團(tuán)隊(duì)。

然而，由于APJ地區(qū)稍晚于DevOps游戲，因此該地區(qū)更需要從其他人的錯(cuò)誤中吸取教訓(xùn)。

他說：“事后我們可以避免陷阱。”

Kok表示，該報(bào)告是在很多似曾相識(shí)的情況下委托的，Cyber??Ark正在與客戶一起關(guān)注其組織秘密的安全性。

該調(diào)查由市場(chǎng)研究公司Vanson Bourne于2017年9月和10月代表Cyber??Ark進(jìn)行，共有來自7個(gè)的1,000多名IT安全決策者，DevOps，應(yīng)用程序開發(fā)人員和業(yè)務(wù)線所有者對(duì)他們公司的實(shí)踐進(jìn)行了調(diào)查。