實(shí)現(xiàn)DevOps安全的最佳實(shí)踐

更快的軟件交付需求、利用公共云環(huán)境、微服務(wù)和容器，激起了業(yè)界的思考：安全性在DevOps領(lǐng)域到底是什么角色？

安全專家們不斷地探索如何將安全性融合到開發(fā)過程中。DevOps在企業(yè)生態(tài)系統(tǒng)中的采用率已經(jīng)達(dá)到了較高的水平，因而它也成為了對(duì)網(wǎng)絡(luò)攻擊者很有吸引力的目標(biāo)。特斯拉基于云的DevOps平臺(tái)被劫持是一個(gè)例子，它表明了為什么這些環(huán)境必須融合到企業(yè)的總體安全策略中，從而全面覆蓋不斷增長(zhǎng)的攻擊面。

微服務(wù)和容器可以使應(yīng)用程序的交付更快，并提升IT的效率。然而，這些技術(shù)的采用速度已經(jīng)超過了安全技術(shù)發(fā)展的步伐。Gartner《如何無縫地將安全性整合到DevOps中》報(bào)告表明，有不到20%的企業(yè)安全團(tuán)隊(duì)將其DevOps小組積極且系統(tǒng)地將信息安全融合到DevOps計(jì)劃中。例如，作為這些技術(shù)的核心功能之一，快速啟動(dòng)和關(guān)機(jī)的能力已經(jīng)為給企業(yè)帶來了巨大的安全挑戰(zhàn)。

不幸的是，由于如下的原因，DevOps安全（或稱為DevSecOps）往往表現(xiàn)得差強(qiáng)人意：

首先，多數(shù)安全專業(yè)人士并不熟悉DevOps方面使用的工具，尤其是在與其互操作性和自動(dòng)化的功能方面，問題更為突出。

其次，多數(shù)安全專業(yè)人士并不知道什么是容器，更不必談?wù)撈洫?dú)特的安全挑戰(zhàn)是什么了。

第三，安全性被認(rèn)為是DevOps靈活性的一種阻礙。

第四，當(dāng)今的安全基礎(chǔ)架構(gòu)仍是基于硬件的設(shè)計(jì)，往往落后于軟件定義和可編程的概念，所以，用一種自動(dòng)化的方式將安全控制融合到DevOps過程就存在挑戰(zhàn)。

雖然微服務(wù)和容器提供了很大的好處，卻也帶來了新的獨(dú)特風(fēng)險(xiǎn)。通常，作為新出現(xiàn)的技術(shù)，微服務(wù)和容器并沒有將安全性內(nèi)置到其中。在多數(shù)企業(yè)中，這些技術(shù)并沒有包含到企業(yè)的安全計(jì)劃中。由于這些技術(shù)有可能已經(jīng)部署到企業(yè)內(nèi)部，這些技術(shù)應(yīng)當(dāng)被認(rèn)為是需要保護(hù)的攻擊面的一部分。

信息安全和DevOps團(tuán)隊(duì)可以采取如下措施，以最大程度地減少這些技術(shù)和部署實(shí)踐中的攻擊面：

強(qiáng)化容器：企業(yè)需要保護(hù)底層操作系統(tǒng)的安全，防止由于主機(jī)感染而損害容器安全性。在此方面，Linux提供了幾個(gè)現(xiàn)成的安全模塊。

保障DevOps過程的安全：將特權(quán)訪問的管理實(shí)踐在整個(gè)DevOps中實(shí)施，以確保只有經(jīng)過授權(quán)的用戶才可以訪問環(huán)境，并限制惡意人員的橫向移動(dòng)。

漏洞掃描：在運(yùn)行之前，對(duì)容器鏡像進(jìn)行深度的漏洞掃描。

持續(xù)監(jiān)視容器鏡像：通過檢測(cè)容器和主機(jī)中的根特權(quán)提升、端口掃描、逆向外殼以及其它的可疑活動(dòng)，防止漏洞利用和攻擊。

最終，企業(yè)將持續(xù)地加速其微服務(wù)和容器的使用，用以提升其業(yè)務(wù)的效率和靈活性。相應(yīng)地，網(wǎng)絡(luò)攻擊者也將利用這種攻擊面來達(dá)成其罪惡目的。為保護(hù)企業(yè)IT堆棧中的這個(gè)新層，DevOps應(yīng)當(dāng)與信息安全團(tuán)隊(duì)協(xié)作，在應(yīng)用程序的開發(fā)過程的早期階段就實(shí)施最佳實(shí)踐。