本文摘抄自:DevOps的概念与实践。
DevOps可以帮助开发和运维团队更加有效地一起工作,也可以帮助信息安全团队更有效地一起工作。在DevOps中,持续部署已经成为DevOps的一个关键实践,并且关注于通过自动化的构建、打包和部署来自动化部署流水线。通过提供一个平台可以在开发生命周期里尽早访问和定位安全问题,信息安全团队也同样能够从部署流水线上得到显著的获益。只要一旦有风险评估被介入,有效地安全保障就应当永远与之同步进行。
DevOps可以帮助定位安全风险,在开发生命周期的最开始,就将安全保障与设计和开发一同得到关注:
- DevOps提供了必须的构造来帮助定位众多安全风险,这是创建任何复杂技术系统的内在要求
- 安全漏洞往往是各种事件的直接后果。比如不恰当的编码实践被利用去攻击系统
- 运行时事件的发生也可能导致不恰当的安全控制。例如某次部署导致的异常
- 另外一个安全问题领域是确保所部署的是正确的代码。在部署过程中所带来的错误可能会暴露给恶意攻击者
- 在不同接口之间的配置问题经常会暴露给攻击者,以被其用于尝试侵入系统。一旦系统缺乏防范措施,不恰当的安全控制问题就有可能导致非授权的变更变得非常难以识别,而且难以执行鉴定证明来查清到底哪些变更是由于错误或是恶意目的导致的。
通过有效地源代码管理来构建安全的系统,软件质量需要从最开始构建。DevOps及部署流水线帮助有效地创建和提供测试环境,以用于评估和测试在组件间接口上的安全漏洞。通过以及时到位的方式提供一个健壮的测试环境可以增强安全性,通过提供一个自动化测试平台可以用于识别需要被定位的问题。一旦代码中的问题被找到,它们就能被定位作为缺陷或变更请求,从而在整个生命周期中被追踪到,以确保已被识别的风险可以被定位。
DevOps能增强信息安全团队的能力。
-
信息安全团队通常非常缺乏足够能理解复杂系统常见的内在自有安全漏洞方面的技术专家
-
DevOps允许信息安全团队完全理解整个应用以及它是如何构建、打包和部署的,这可以帮助InfoSec维护一个相关的和有效地关注。
要实现信息安全,需要:
通过DevOps,入侵测试可以在整个软件和系统生命周期中罐车进行。通过改善开发和信息安全团队之间的沟通,DevOps及InfoSec都可以在通常专门为入侵测试所留出的短小时间片断里设计和执行更加有效地入侵测试。部署流水线同样可以使信息安全人员获得对有效评估安全漏洞来说非常关键的技术信息。
为了确保可信的应用程序基础,应当使用可以安全识别准确二进制代码以及所有其他配置项(XML及属性配置文件)的过程来构建 应用程序代码,以便可以证明正确的代码确实被部署和确认没有非授权的变更发生。这些过程通常会使用在应用程序自动化构建和打包过程中就首先创建的加密哈希值。一旦代码被部署,哈希值就可以被重新计算来验证所有的代码是否被正确部署。
- 执行入侵测试
- 提供安全可信的应用程序基础