Fortinet:上云必备 | 通过 DevSecOps 明确云安适责任

时间:2022-04-26 16:59:42


企业的数字化水平越高,使用的云处事就越多,操纵环境也就越庞大。跟着数字网络和云处事的不停增加,企业内部的责任分工变得越来越模糊。在大型组织中,云预算和开发资源都由各个业务部门自行打点,从而加剧了这一庞大性。

尽管这对自主打点数字合作关系的部门来说可能并无大碍,但却组成了严峻的安适挑战。各方关系错综庞大,安适事情究竟是谁人之责?IT 部门、业务部门还是云供给商?没有端到真个可视性,IT 打点者便很难实施集中式安适战略和一致性的安适计谋,最终重要数据将置于越来越大的危害之中。

责任共担模式催生灰色区域

责任共担模式下的灰色区域会带来安适缝隙,尤其是当工具来自云市场时,情况会更为庞大。

云处事供给商通过云市场供给一系列解决方案、插件和安适解决方案。这些工具通过云处事供给商采办,看似应由云处事供给商承当安适责任,但实际上一旦客户配置了这些工具,就代表客户同意对其安适性卖力。但是,有时候客户揽下了责任,却不知道意味着什么。

对此最好的步伐就是通过根来源根底因分析 (RCA) 来确定责任归属(厂商、供给商或客户)。RCA 可以识别任何潜在威胁,确定事件的根来源根底因,然后制定步履方案。这凡是包孕通知关键利益相关者、启动威胁分析、成立流程来协调各方之间的响应和资源,以及将相关信息数字化/映射到相关云技术。

确定安适责任

如果第一步是明确责任的大标的目的(厂商、供给商和客户),那么下一步就是将责任细化到组织内部部门。

如果组织确实承当责任,那么打点人员必需将责任粒度细化到他们可能都不适应的级别。此中一个问题是,许多组织使用了专门的云开发计谋。当今的组织凡是拥有多个动态云环境,每个云环境可能都由差此外内部部门打点,他们担忧* IT 团队的干与干预可能会妨碍他们的事情,好比影响速度、灵活性和控制力,而这些也是当初他们选择云处事的原因。例如 DevOps,速度和效率对交付关键业务应用至关重要。任何影响速度的安适法子城市被视为威胁。

传统的 IT 团队和 DevOps 团队凡是对此定见不一。IT 团队建议使用安适工具,而 DevOps 团队认为安适工具是其事情中的拦路虎,与他们的主要方针南辕北辙。虽然 DevOps 团队擅长应用开发,但他们却凡是缺乏安适开发常识。

DevSecOps 让安适性能两不误

要想分身其美,组织可以为每个 DevOps 小组配备一名网络安适专家,构成一个“DevSecOps”团队。这名 DevOps 安适专家(或专家团队)可以指导应用开发人员履行责任共担模式,辅佐他们同时满足开发和安适要求。他们还可以跨所有云实例供给一致的安适计谋,同时确保 DevOps 团队的开发效率。

有了 DevSecOps,这些团队就可以高效地选择、部署和打点工具,从而更顺利地实现速度和安适性方针。以 SaaS 安适解决方案为例,基于云的 Web 应用防火墙可以进行自我扩展。而 DevSecOps 可以确保 Web 应用按需增加,同时不会影响安适性。合适的工具部署起来也不会吃力,有些工具甚至内置了安适成果,笼罩部署、维护和扩展乃至连续使用和开发过程中的所有优化。

自动化也阐扬着至关重要的感化。设置完成后,自动化流程便可查抄配置并扫描恶意软件(由于手动执行这两个流程需要时间和资源,这两个流程经常被弃捐)。DevSecOps 团队可以辅佐选择和设计合适的自动化云安适解决方案,以确保获得所有合适的安适特性:

自动扫描公有云中的缝隙

自动评估工具配置

动态掩护存储的数据

查明错误配置

扫描云中的文件

通过防备未经授权的下载来掩护敏感信息

带领者撑持是关键

跟着数字化成为当今市场上的主要竞争优势,带领者更加现确 Web 应用(及其打点方法)就是确保业务战略告成的关键。因此,DevOps 方针现已上升到最高打点层,成为董事会上常见的议题。

但是,由于高管们一心想要加快数字化转型,他们并没有意识到冒进的云化和专有应用的开发导致了安适问题庞大化,因此安适危害急剧攀升。

从 DevOps 到 DevSecOps 的演进意味着,安适性从开发新云实例的第一天起就被放在了首位。DevSecOps 团队可以开发须要的 RCA 云安适手册,确保这些准则的落地执行。他们还可以辅佐企业选择安适解决方案,掩护其不停增长的数字资源,同时防备不测危害进入环境。别的,由于 DevSecOps 能够防备企业违规和受到经济惩罚,他们甚至可以直接影响企业的利润。

DevSecOps 的上述任何一项优势都值得获得高管们的重视和全力撑持。