DevOps如何在不牺牲安全性的情况下迁移到云端

例如，企业不知道需要重点保护哪些基础结构层，这可能会导致发生数据泄露等事件。根据Verizon公司2019年数据泄露的调查报告，企业内部员工所犯的错误占所有数据泄露事件的34%。这些违规行为给企业带来了惨重的财务和声誉损失，而中小型企业难以承受这些损失而破产。

技术解决方案还有助于了解DevOps工作流程的紧迫性，并帮助将安全测试和解决方案集成到工具链和工作流程中。但是，这些工具和解决方案最终将依赖于DevOps内部的安全措施，而不是单独的安全团队。

云计算提供商在安全责任和客户端责任方面的份额

企业与公共云提供商合作的一个主要好处是，提供商非常重视安全性和合规性。云计算提供商在保护云计算环境方面投入了大量资金，以确保比内部部署环境更安全。公共云提供商运营和管理服务器位置、硬件本身、主机操作系统、虚拟化层的物理访问安全性。或者简而言之，它提供为企业业务服务的基础设施。

DevOps团队负责保护企业数据、操作系统、应用程序逻辑和端点。虽然与云计算提供商分担安全责任可以减轻管理负担，但重要的是使持续维护成为持续集成(CI)/持续交付(CD)流程的一部分，而不只是依靠云计算提供商来处理。另外值得一提的是，使用开源组件的开发人员必须维护这些资源，以确保不会带来漏洞。这可以通过运营发现来识别和跟踪所有开源组件来完成。

为了根据不同组织的特定需求提供量身定制的服务，云计算提供商提供了几种云计算模型，包括软件即服务(SaaS)、平台即服务(PaaS)和基础设施即服务(IaaS)，每种模型都涵盖不同级别的数字解决方案以及相应的安全。

根据云计算标准客户委员会(CSCC)的说法，当用户从SaaS迁移到PaaS到IaaS时，其责任往往会增加。

使用SaaS模型的团队在安全方面参与最少，因为他们使用的是预先设计好的服务，而云计算提供商则负责处理所有的技术方面。这意味着他们可以依靠提供者来管理基础设施、软件栈，以及大多数相关的应用程序逻辑。

对于安全所有权和责任，企业团队应检查其首选云计算服务提供商的服务级别协议。一旦团队清楚地了解了他们的安全职责，他们就可以将时间集中在保护自己的组件上，并确保他们的云计算提供商将处理剩下的组件。这种政策一个很好的例子是AWS公司的共享责任模型。它清楚地记录了客户对其AWS基础设施中的数据、API和软件堆栈的责任。

在云迁移的安全解决方案中需要注意什么?

依靠云计算提供商进行监控和保护是企业安全面临的巨大挑战。以AWS公司为例。作为早期的IaaS提供商之一，AWS公司奠定了用户基础，并花费了大量资源来教育客户。AWS公司强制执行服务。他们采取了令人难以置信的措施来确保他们提供的物理设施和技术安全性。因此，企业通常不太担心网络安全、服务器、路由器等问题。但是，AWS公司也非常了解应用程序所有者负责的其他组件。

正如AWS公司对云计算安全共同责任立场所解释的那样，他们负责管理系统。但是，应用程序中的数据、与用户相关的安全性以及企业如何采用应用程序都不在他们的管辖范围之内。甚至还有一些论点指出，试图确保这一点可能意味着企业过度扩张或阻碍了进展。

只是相信开发商和提供商将会保护应用程序和微服务是不够的。企业必须确保自己的软件解决方案在逻辑级别是安全的，这是发生变化最多的地方。企业需要寻找：

• 在应用程序级别部署的工具
• 在持续集成(CI)/持续交付(CD)中运行的解决方案
• 不增加资源需求的集成工具集和流程
• 允许灵活响应的自动化

这是安全管理云平台并将企业的业务转变为强大灵活的解决方案的一部分。

支持安全的API和微服务使企业能够灵活地扩展云计算。无论企业是决定补充现有的技术堆栈，还是完全转向新一代的容器和微服务，都非常关注这一新的动态基础设施是如何、在哪里以及由谁来管理的。这就是需要新的治理过程和自动化策略的地方。采用云计算是企业的业务转型之一。

安全性必须与企业业务运作的具体情况相适应，并且只在特定的环境中才能有效。这并不总是意味着繁琐的自定义，但这意味着企业需要能够适应并运营基础设施、业务逻辑和流量的解决方案。在更深层次安装的机器学习使企业业务独一无二，这是确保这一点的一种方法。

鼓励DevOps和安全团队之间的协作

除了技​​术影响之外，云计算将需要在组织上进行新的重组。例如，如果企业负责管理云平台，那么组织结构图是什么样的?谁对风险承担责任?首席信息安全官和首席技术官的角色将如何变化?安全专家如何适应企业的组织结构?

传统上，企业开发、运营、安全团队在孤岛中工作。随着开发和运营融入统一的DevOps实践，问题在于DevOps是否从根本上削弱了安全性。在DevOps中，开发速度是决策制定的首要考虑因素，特别是在使用外部软件和平台时，安全性往往是事后的想法。随着新威胁和脆弱性的引入，安全格局正在迅速变化，这一挑战进一步扩大。

企业期望开发商一夜之间成为安全专家是不现实的。然而，随着应用程序开发速度的提高，以适应当今企业所需的速度和灵活性，许多企业没有在其产品中构建安全性。

为了解决这个问题，DevOps和安全团队需要进行协作，以便从开发生命周期的开始阶段就将安全性纳入其中。

为了最好地整合角色，应考虑以下一些关键的最佳实践：

• 考虑质量保证。最重要的是建立一种将安全视为高质量产品的推动者、共同责任和首要任务的文化。它应该被视为应用程序性能和用户体验的关键指标之一。
• 将安全性集成到DevOps中。DevOps过程的所有部分涉及安全团队或指定安全角色，以确保从一开始就具有透明度和协作性;安全团队可以检测应用程序特定的漏洞，并提供可操作的DevOps建议，这将为安全编码实践提供信息。
• 支持开发人员。由于大多数开发人员对需要注意的内容了解有限，所以在团队中任命安全管理人员是一件好事。他们可能不像白帽黑客那样有深入的知识，但在安全方面有足够的参与度，以理解其概念并知道在哪里寻找合适的工具和资源。
• 获得正确的工具和工具链。部署可以管理安全任务的自动化工具，使小型安全团队能够更多地关注关键优先级，例如定义框架并更加关注开发过程;在云端和持续集成(CI)/持续交付(CD)过程中自动生成和运行安全测试的工具将有助于实现这一目标。
• 加强编码。最后，许多安全问题来自最明显的错误。组织需要投资培训开发人员以在云中安全地编码，并将安全测试作为流程的一部分。通过机器学习监控代码的高级安全解决方案可以在代码中找到漏洞，帮助开发人员增强代码运行的稳定性。

【编辑推荐】

1. 全面支持开源，微软加速Visual Studio和Azure DevOps 云升级
2. 影响DevOps未来发展的五大趋势！

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!