DevOps如何在不牺牲安全性的情况下迁移到云端

支持安全的API和微服务使企业能够灵活地扩展云计算。无论企业是决定补充现有的技术堆栈，还是完全转向新一代的容器和微服务，都非常关注这一新的动态基础设施是如何、在哪里以及由谁来管理的。这就是需要新的治理过程和自动化策略的地方。采用云计算是企业的业务转型之一。

安全性必须与企业业务运作的具体情况相适应，并且只在特定的环境中才能有效。这并不总是意味着繁琐的自定义，但这意味着企业需要能够适应并运营基础设施、业务逻辑和流量的解决方案。在更深层次安装的机器学习使企业业务独一无二，这是确保这一点的一种方法。

鼓励DevOps和安全团队之间的协作

除了技​​术影响之外，云计算将需要在组织上进行新的重组。例如，如果企业负责管理云平台，那么组织结构图是什么样的?谁对风险承担责任?首席信息安全官和首席技术官的角色将如何变化?安全专家如何适应企业的组织结构?

传统上，企业开发、运营、安全团队在孤岛中工作。随着开发和运营融入统一的DevOps实践，问题在于DevOps是否从根本上削弱了安全性。在DevOps中，开发速度是决策制定的首要考虑因素，特别是在使用外部软件和平台时，安全性往往是事后的想法。随着新威胁和脆弱性的引入，安全格局正在迅速变化，这一挑战进一步扩大。

企业期望开发商一夜之间成为安全专家是不现实的。然而，随着应用程序开发速度的提高，以适应当今企业所需的速度和灵活性，许多企业没有在其产品中构建安全性。

为了解决这个问题，DevOps和安全团队需要进行协作，以便从开发生命周期的开始阶段就将安全性纳入其中。

为了最好地整合角色，应考虑以下一些关键的最佳实践：

• 考虑质量保证。最重要的是建立一种将安全视为高质量产品的推动者、共同责任和首要任务的文化。它应该被视为应用程序性能和用户体验的关键指标之一。
• 将安全性集成到DevOps中。DevOps过程的所有部分涉及安全团队或指定安全角色，以确保从一开始就具有透明度和协作性;安全团队可以检测应用程序特定的漏洞，并提供可操作的DevOps建议，这将为安全编码实践提供信息。
• 支持开发人员。由于大多数开发人员对需要注意的内容了解有限，所以在团队中任命安全管理人员是一件好事。他们可能不像白帽黑客那样有深入的知识，但在安全方面有足够的参与度，以理解其概念并知道在哪里寻找合适的工具和资源。
• 获得正确的工具和工具链。部署可以管理安全任务的自动化工具，使小型安全团队能够更多地关注关键优先级，例如定义框架并更加关注开发过程;在云端和持续集成(CI)/持续交付(CD)过程中自动生成和运行安全测试的工具将有助于实现这一目标。
• 加强编码。最后，许多安全问题来自最明显的错误。组织需要投资培训开发人员以在云中安全地编码，并将安全测试作为流程的一部分。通过机器学习监控代码的高级安全解决方案可以在代码中找到漏洞，帮助开发人员增强代码运行的稳定性。

【编辑推荐】

1. 全面支持开源，微软加速Visual Studio和Azure DevOps 云升级
2. 影响DevOps未来发展的五大趋势！

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!