DevOps与安全性的集成

云为DevOps提供了许多优势，但要付出一定的代价。在本文中解释了为什么所有DevOps团队都必须将安全性放在首位。

云通过敏捷，用户友好和可扩展的规模为企业提供了运营和管理优势。它还使IT团队能够应用持续集成/持续部署（CI / CD）方法来更快地交付应用程序和功能。通过使用称为DevOps的开发和交付方法，整个组织可以更好地响应客户和市场需求，并持续交付创新。

速度是DevOps的本质。这个想法是要迭代，迭代，迭代并快速在用户面前获得修复和新功能。尽管不一定是安全的对手，但速度可能会对在组织的云环境中维持严格的安全状态所需的预防细节产生负面影响。当然，这两个学科的目标之间存在一定的张力，但是实现各自的目标不一定是零和游戏。实际上，所需要的是一种将快速CI / CD的需求与云安全控制和策略相集成的方法，以使数据和资源既有效又安全地工作。

在结构中建立安全性

一些组织将安全性作为要定期检查的错误和漏洞的检查表。对于云中的现代企业而言，这不会削减成本。安全工作必须融入组织的文化中，并应强调为整个IT，产品和工程流程的组成部分。除了使用将安全控制应用于代码和资源的最佳实践之外，团队还必须在系统在生产环境中运行时建立自动安全检查。即使从一开始就在设计应用程序和系统时都考虑到安全性，并且在整个开发过程中进行了所有适当的安全性评估，但安全漏洞仍然存在，配置也会发生变化。为了保持安全，企业必须对生产中的系统进行持续的安全性和法规遵从性监控。

使自动化成为您的盟友

使用DevOps时有许多优点，而限制安全措施将适得其反。随着云部署和应用程序开发的快速发展，应用程序功能的日新月异，配置的更改以及工作负载的变化，无法手动跟上。幸运的是，有一种方法可以将安全性嵌入到DevOps实践中，即自动化。大多数开发人员已经熟悉脚本，编码和简化复杂性的自动化概念，并且云中的安全性可以以相同的方式运行。

安全功能与代码的功能不同，但是管理安全性的过程可以通过脚本和API来访问，而不是特定的工具集。随着云环境利用微服务架构，并使用DevOps支持开发和部署，现在安全性的许多方面都是可编程的。

集成和部署管道非常适合作为常规开发工作流程的一部分，自动化质量保证和安全控制的应用。但是，随着资源被添加到云环境中，并且更多应用程序之间的连接不断增加，对构成组织安全态势的设置，策略，控件，签名和其他元素的持续洞察，测试和修复的需求也日益增加。

找到共同点

整合DevOps和安全性需要团队之间进行文化变革，但对于融合两者的需求至关重要。目标应该是开发人员，运营团队，IT领导，质量保证和安全性都将安全性作为开发和管理各个方面的优先考虑。DevOps和安全都有一些独特的最佳实践。其中一些可以共享，而另一些则可以分开，但是当不同的小组了解其他目标时，他们可以制定支持他们的流程。

这看似基本，但成功的最重要因素是对他人需求的沟通和同理心。其中一些是通过智能通信和敏捷的工作环境实现的，该环境允许团队不断改进流程和运营工作流程。同样重要的是，使用正确的激励措施和KPI来鼓励不同群体改变这种新的集成DevOps /安全操作方式的方式。

结论

云环境是动态的。在各种类型的工作负载，令人眼花connections乱的连接以及不断增长的表面积（呈现出越来越多的端点）的情况下，推动代码并使其变得安全的一切都在发生。考虑到激进的时间表和交付期限，很容易让安全性要求的纪律松懈。但是，在当今高度连接的世界以及瞬息万变的云环境中，让安全性暂时消失只是企业根本无法承受的事情。为了获得成功，企业必须具备适当的流程和技术（最重要的是人员），以保持系统的充分安全。