DevOps专业人员如何成为安全冠军[DevOps]

2019-12-04 18:24:25 浏览数 (1)

打破“竖井”,成为安全方面的冠军,将有助于个人、职业和组织。

图片来源:Opensource.com图片来源:Opensource.com

安全性是DevOps中被误解的元素。一些人认为它超出了DevOps的范围,而另一些人认为非常重要(并且被忽视了),因此建议迁移到DevSecOps。不管对安全的看法如何,很明显,安全影响着每一个人。

每年,有关黑客攻击的统计数据都越来越令人担忧。例如,每39秒就有一次黑客攻击,这可能导致为公司编写的记录、身份和专有项目被盗。安全团队可能需要几个月(甚至永远)的时间来发现黑客背后的身份、内容、地点或时间。

对于这些可怕的问题,运营专业人士该怎么做呢?我认为现在是成为解决方案的一部分,成为安全卫士的时候了。

筒仓和地盘之争

在与本地IT安全(ITSEC)团队并肩工作的多年中,我注意到了很多事情。一个重要的问题是DevOps和安全之间的紧张关系非常普遍。这种紧张关系几乎总是源于安全团队保护漏洞的努力(例如,通过设置规则或禁用某些东西),这些漏洞会打断DevOps的工作并妨碍快速部署应用程序的能力。

你见过,我也见过,在这个领域遇到的每个人都至少有一个关于它的故事。一小段积怨变成了一座需要时间去修复的烧毁的桥,或者这些团队开始了一场小规模的地盘之争,结果导致了不太可能实现DevOps。

获得新的视角

为了打破这些竖井并结束地盘之争,我与每个安全团队中的至少一个人进行了交谈,以了解组织中日常安全操作的细节。开始这样做是出于普遍的好奇心,但一直坚持下去,因为总是给我一个有价值的新视角。例如,了解到对于每一个由于安全性失败而停止的部署,ITSEC团队都在狂热地尝试修补它所看到的其他10个问题。他们的鲁莽和快速反应是由于有限的时间,必须解决之前,它成为一个大问题。

考虑到发现、分析和撤销所做的事情需要大量的知识。或者找出DevOps团队正在做什么——没有背景信息——然后复制并测试它。他们通常都是用人手严重不足的安全团队来做这一切。

这是安全团队的日常生活,而DevOps团队没有看到它。ITSEC的日常工作可能意味着加班和加班,以确保公司、团队和团队正在生产的专有工作是安全的。

成为安全冠军的方法

这就是成为自己的安全冠军可以帮助的地方。这意味着——对于所做的每一件事——必须认真仔细地考虑人们登录它的所有方式,以及可以从中获取什么。

帮助安全团队帮助你。将工具引入到管道中,把你会了解工作的内容与他们会知道的内容集成在一起。从小事做起,比如阅读常见的漏洞和暴露(cve),并向CI/CD管道添加扫描功能。对于构建的所有内容,都有一个开放源码扫描工具,并且添加小型开放源码工具(如下面的工具)可以在长期运行中发挥更大的作用。

集装箱扫描工具:

-Anchore引擎

-Clair

-Vuls

-OpenSCAP

代码扫描工具:

-OWASP SonarQube

-发现安全漏洞

-谷歌黑客Diggity项目

Kubernetes安全工具:

Calico项目

Kube-hunter

NeuVector

保持DevOps hat

如果从事与开发相关的工作,学习新技术以及如何用它创造新事物是工作的一部分。安全性也不例外。下面列出的一些方法,可以在保持DevOps功能的同时,在安全方面保持最新的状态。

每周读一篇关于所从事的工作中与安全相关的文章。

每周访问CVE网站,看看有什么新消息。

试试黑客马拉松吧。有些公司一个月做一次;如果网站还没有初学者Hack 1.0,请访问这个网站,你会想了解更多。

试着每年至少和安全团队成员参加一次安全会议,从他们的角度看问题。

永远做一个冠军

有几个理由成为自己的安全冠军。首先,也是最重要的是扩展知识,推进事业。第二个原因是帮助其他团队,建立新的关系,打破损害组织的竖井。在组织中建立友谊有很多好处,包括树立一个连接团队和鼓励人们一起工作的好榜样。还将促进整个组织内的知识共享,并为每个人提供新的安全保障和更大的内部合作。

总的来说,成为安全冠军会使你在整个组织中永远成为冠军。

0 人点赞