• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      基于DevOps的安全保障研究

      2022-07-10 12:08:14深余
      科技視界 2022年14期
      關(guān)鍵詞:安全策略流水線安全控制

      李 深余 建

      (1.中國(guó)電信股份有限公司福建分公司,福建 福州 350000;2.三明學(xué)院網(wǎng)絡(luò)中心,福建 三明 365004)

      0 引言

      21世紀(jì)的技術(shù)革命就是互通互連的應(yīng)用,它們讓人們的點(diǎn)滴生活變得更加便利。云計(jì)算讓工作生活效率倍增,幫助人們網(wǎng)上購(gòu)物、網(wǎng)上訂餐、車票預(yù)訂等,分享照片給朋友和家人,尋找新家附近的美食,跟蹤健身計(jì)劃的進(jìn)展,大眾越來(lái)越受益于這些應(yīng)用。騰訊、淘寶、京東、Facebook和Google等服務(wù)的增長(zhǎng)速度表明,無(wú)論是在手機(jī)屏幕上還是在瀏覽器中,每個(gè)應(yīng)用都為用戶帶來(lái)了巨大的價(jià)值。

      這場(chǎng)革命的成功一部分要?dú)w功于創(chuàng)建和運(yùn)營(yíng)這些應(yīng)用的工具的進(jìn)步。互聯(lián)網(wǎng)上的競(jìng)爭(zhēng)日益激烈,用戶對(duì)創(chuàng)意的新鮮感很快就會(huì)消退,組織必須快速行動(dòng)來(lái)占領(lǐng)市場(chǎng)份額,并鎖定其產(chǎn)品的用戶。在初創(chuàng)企業(yè)的世界里,取得成功的關(guān)鍵因素是創(chuàng)意融入產(chǎn)品的速度和成本。DevOps帶來(lái)了一場(chǎng)革命,通過(guò)互聯(lián)網(wǎng)世界里工具和技術(shù)的工業(yè)化,它讓低成本運(yùn)營(yíng)在線服務(wù)成為可能,這場(chǎng)革命讓小型初創(chuàng)企業(yè)也能夠和科技巨頭相互競(jìng)爭(zhēng),一爭(zhēng)高下。

      在這場(chǎng)創(chuàng)業(yè)熱潮之中,數(shù)據(jù)安全有時(shí)候會(huì)受到損害??蛻粢呀?jīng)展示出了對(duì)應(yīng)用的信任,并且愿意用他們的數(shù)據(jù)來(lái)?yè)Q取功能,這導(dǎo)致大量的組織存儲(chǔ)了海量的用戶個(gè)人信息,而當(dāng)這種局面形成之時(shí),組織往往還沒(méi)有準(zhǔn)備好能處理這些數(shù)據(jù)的安全策略。一個(gè)讓組織心存僥幸的激烈競(jìng)爭(zhēng)格局再加上海量的敏感信息,這簡(jiǎn)直就是孕育災(zāi)難的完美“溫床”。因此,隨著在線服務(wù)數(shù)量的不斷增加,數(shù)據(jù)泄露也隨之出現(xiàn)得越來(lái)越頻繁。

      1 De v Op s安全現(xiàn)狀

      隨著云服務(wù)和云生態(tài)環(huán)境的興起,傳統(tǒng)的網(wǎng)絡(luò)運(yùn)營(yíng)已經(jīng)從提供和運(yùn)行云基礎(chǔ)設(shè)施,轉(zhuǎn)移到了提供服務(wù)支持型的應(yīng)用程序。現(xiàn)在,隨著容器化環(huán)境技術(shù)的發(fā)展,安全團(tuán)隊(duì)也在進(jìn)行著類似的轉(zhuǎn)變,這是因?yàn)閼?yīng)用程序的安全已經(jīng)逐步進(jìn)入了DevOps的領(lǐng)域。考慮到DevOps在構(gòu)建、測(cè)試和部署應(yīng)用程序方面的專業(yè)知識(shí)和核心作用,大量的運(yùn)營(yíng)成員必須負(fù)責(zé)去保護(hù)這些應(yīng)用程序以及基礎(chǔ)設(shè)施。雖然安全團(tuán)隊(duì)仍然需要去制定一些安全策略并設(shè)置防護(hù)邊界,但DevOps將越來(lái)越多地去操作更適用于容器化應(yīng)用程序的安全工具。

      2 De v Op s中的安全

      DevOps(Development和Operations的組合詞)是一種重視“軟件開(kāi)發(fā)人員(Dev)”和“IT運(yùn)維技術(shù)人員(Ops)”之間溝通合作的文化、運(yùn)動(dòng)或慣例。透過(guò)自動(dòng)化“軟件交付”和“架構(gòu)變更”的流程,來(lái)使得構(gòu)建、測(cè)試、發(fā)布軟件能夠更加地快捷、頻繁和可靠。

      DevOps可以代表許多不同的含義,這取決于它應(yīng)用于信息技術(shù)(IT,Information Technology)領(lǐng)域的那個(gè)部分。運(yùn)營(yíng)核電站的基礎(chǔ)設(shè)施和在網(wǎng)站上處理信用卡的支付有很大的不同,但同樣都可以從DevOps中獲益,對(duì)運(yùn)營(yíng)進(jìn)行優(yōu)化和加強(qiáng)。本文不可能涵蓋DevOps和IT的全部領(lǐng)域,因此重點(diǎn)著眼于云服務(wù),這是一個(gè)專注于Web應(yīng)用開(kāi)發(fā)和運(yùn)維的領(lǐng)域。對(duì)于運(yùn)維保護(hù)和維護(hù)一個(gè)托管在云中的Web應(yīng)用,可以輕易地將它們轉(zhuǎn)換到任何DevOps環(huán)境之中。DevOps教會(huì)使用者,行之有效的策略要求運(yùn)維方和開(kāi)發(fā)方結(jié)合得更為緊密,要開(kāi)發(fā)人員和運(yùn)維人員之間的各種溝通壁壘。同樣地,保障DevOps必須從安全團(tuán)隊(duì)和他們的工程師伙伴之間的緊密協(xié)作開(kāi)始。安全需要作為服務(wù)的一項(xiàng)功能提供給客戶,同時(shí)安全團(tuán)隊(duì)和DevOps團(tuán)隊(duì)的內(nèi)部目標(biāo)必須保持一致。

      當(dāng)安全變成DevOps不可分割的一部分之后,安全工程師可以將安全控制直接內(nèi)建到產(chǎn)品之中,而不是在事后強(qiáng)加于產(chǎn)品之上。每個(gè)人都有著讓組織獲得成功的共同目標(biāo)。只有目標(biāo)達(dá)成一致,溝通才得到改善,數(shù)據(jù)安全得到提升。將安全引入Devops的核心思想中,讓安全團(tuán)隊(duì)采用DevOps技術(shù),將他們的注意力從僅僅保護(hù)基礎(chǔ)設(shè)施轉(zhuǎn)移到通過(guò)持續(xù)改進(jìn)來(lái)保護(hù)整個(gè)組織的目標(biāo)上來(lái)。在本研究中,筆者將這種方法稱為持續(xù)安全。

      3 De v Op s的持續(xù)安全模型

      持續(xù)安全由三個(gè)領(lǐng)域組成,圖1中已由三個(gè)帶編號(hào)的方框標(biāo)出。每一個(gè)領(lǐng)域都聚焦于DevOps流水線的一個(gè)特定方面??蛻舻姆答伌碳ち私M織的擴(kuò)張,從而驅(qū)動(dòng)出新的特性,這一過(guò)程也適用于持續(xù)安全。本文分為三個(gè)部分,每一部分分別覆蓋了持續(xù)安全的一個(gè)領(lǐng)域:

      圖1 “持續(xù)安全”模型

      (1)驅(qū)動(dòng)安全(TDS,Test-Driven Security)。程序安全的第一步就是定義、實(shí)現(xiàn)并測(cè)試安全控制。TDS覆蓋了簡(jiǎn)單的安全控制,比如Linux服務(wù)器的標(biāo)準(zhǔn)配置,還有Web應(yīng)用必須實(shí)現(xiàn)的安全標(biāo)頭。通過(guò)持續(xù)地實(shí)現(xiàn)基本的安全控制,并不斷地測(cè)試這些安全控制的準(zhǔn)確性,可以獲得極大的安全感。在實(shí)施得不錯(cuò)的DevOps中,人工測(cè)試應(yīng)該是例外而不是規(guī)則。安全測(cè)試的處理方式和所有應(yīng)用測(cè)試的處理方式一模一樣,自始至終都要自動(dòng)化。

      (2)監(jiān)控與應(yīng)對(duì)。在線服務(wù)命中注定會(huì)受到威脅。當(dāng)事件發(fā)生時(shí),組織會(huì)向安全團(tuán)隊(duì)求助,團(tuán)隊(duì)必須準(zhǔn)備好應(yīng)對(duì)之策。持續(xù)安全的第2個(gè)階段就是監(jiān)控和應(yīng)對(duì)風(fēng)險(xiǎn),保護(hù)組織賴以生存的服務(wù)和數(shù)據(jù)。

      (3)消除風(fēng)險(xiǎn)并完善安全性。網(wǎng)絡(luò)安全不只是技術(shù),安全策略如果只是關(guān)注技術(shù)問(wèn)題,則不能稱之為成功。持續(xù)安全的第3個(gè)階段將跳出技術(shù)范疇,在更高的層面觀察組織的安全形勢(shì)。

      成熟的組織信任它們的安全程序,而且會(huì)和它們的安全團(tuán)隊(duì)緊密協(xié)作。要做到這一點(diǎn),組織需要專注、經(jīng)驗(yàn)及良好的意識(shí),即知道什么時(shí)候承擔(dān)風(fēng)險(xiǎn)及什么時(shí)候規(guī)避風(fēng)險(xiǎn)。全面的安全策略要結(jié)合技術(shù)和人員,識(shí)別出可以改進(jìn)的方方面面,并且合理地分配資源,所有這些都發(fā)生在快速完成的改進(jìn)周期中。

      3.1 測(cè)試驅(qū)動(dòng)安全

      只用手機(jī)就能突破層層防火墻或是破解密碼,這樣的黑客神話只是電影大片里的噱頭,真實(shí)世界里鮮有這樣的事情發(fā)生。在大多數(shù)情況下,攻擊者會(huì)找安全防御較弱:有安全漏洞的Web框架、過(guò)時(shí)的系統(tǒng)、密碼容易被猜到且可以公開(kāi)訪問(wèn)的管理頁(yè)面,以及不小心泄露在開(kāi)源代碼里的安全憑證,這些都是攻擊者喜歡的目標(biāo)。實(shí)現(xiàn)持續(xù)安全策略的第一個(gè)目標(biāo)就是守住底線:在組織的應(yīng)用和基礎(chǔ)設(shè)施上使用基本的安全控制集并持續(xù)地進(jìn)行測(cè)試。

      安全團(tuán)隊(duì)、開(kāi)發(fā)人員及運(yùn)維人員之間應(yīng)該建立安全最佳實(shí)踐清單,以確保每個(gè)人都認(rèn)同其價(jià)值。通過(guò)收集這些最佳實(shí)踐并加入一些常識(shí),基線需求的列表很快就可以建立起來(lái)。

      3.1.1 應(yīng)用安全性

      現(xiàn)代Web應(yīng)用暴露在大量的攻擊之下。開(kāi)放Web應(yīng)用安全項(xiàng)目(OWASP,Open Web Application Security Project)發(fā)布了排名在前十名的最常見(jiàn)的攻擊手段:跨站腳本攻擊、SQL注入攻擊、跨站請(qǐng)求偽造、暴力攻擊,等等,數(shù)不勝數(shù)。幸運(yùn)的是,每一種攻擊向量都可以通過(guò)在正確的地方使用正確的安全控制來(lái)化解。

      3.1.2 基礎(chǔ)設(shè)施安全性

      依靠laaS(Infrastructure as a Service)運(yùn)行軟件并不能讓DevOps團(tuán)隊(duì)高枕無(wú)憂,從而不用去關(guān)心基礎(chǔ)設(shè)施的安全性。所有系統(tǒng)都有對(duì)外授予更高權(quán)限的入口,比如VPN、SSH網(wǎng)關(guān),或者管理面板。隨著一個(gè)企業(yè)的不斷擴(kuò)張,在開(kāi)放新的入口和集成更多模塊時(shí),必須一直小心翼翼地保護(hù)好系統(tǒng)和網(wǎng)絡(luò)。

      3.1.3 流水線安全性

      DevOps交付產(chǎn)品的自動(dòng)化方式和大多數(shù)安全團(tuán)隊(duì)熟悉的傳統(tǒng)運(yùn)維方式完全不同。破壞CI/CD流水線只會(huì)把運(yùn)行在生產(chǎn)環(huán)境中的軟件的控制權(quán)拱手讓給攻擊者。在從代碼提交到生產(chǎn)環(huán)境部署的這個(gè)過(guò)程中,采用的自動(dòng)化步驟可以使用提交簽名和容器簽名這樣的完整性控制來(lái)保護(hù)。

      3.1.4 持續(xù)測(cè)試

      在剛剛定義的三個(gè)領(lǐng)域中,對(duì)于任意一個(gè)領(lǐng)域中的應(yīng)用來(lái)說(shuō),安全控制單獨(dú)實(shí)現(xiàn)起來(lái)都相當(dāng)簡(jiǎn)單。困難來(lái)自隨時(shí)隨地測(cè)試和實(shí)現(xiàn)它們。這就是TDS該發(fā)揮作用的時(shí)候了。TDS是一種類似測(cè)試驅(qū)動(dòng)開(kāi)發(fā)(TDD,Test-Driven Development)的方法。TDD建議開(kāi)發(fā)人員先編寫(xiě)表達(dá)期望行為的測(cè)試,然后再來(lái)編寫(xiě)滿足測(cè)試的代碼;TDS建議先編寫(xiě)表達(dá)期望狀態(tài)的安全測(cè)試,然后再實(shí)現(xiàn)讓測(cè)試通過(guò)的安全控制。

      3.2 攻擊監(jiān)控安全與應(yīng)對(duì)

      現(xiàn)代組織十分復(fù)雜,要想用合理的成本覆蓋每一個(gè)角落基本上是不可能實(shí)現(xiàn)的。安全團(tuán)隊(duì)必須權(quán)衡優(yōu)先級(jí)。日常的攻擊監(jiān)控與應(yīng)對(duì)方法集中在日志和欺詐檢測(cè)、入侵檢測(cè)和事件響應(yīng)三個(gè)方面。如果組織能做好這三項(xiàng),那么就是做好了應(yīng)對(duì)安全事件的準(zhǔn)備。

      3.2.1 日志和欺詐檢測(cè)

      日志的生成、保存和分析在組織的每一個(gè)部分都發(fā)揮著作用。開(kāi)發(fā)人員和運(yùn)維人員需要日志來(lái)跟蹤服務(wù)的健康度。產(chǎn)品經(jīng)理使用它們來(lái)度量特性受歡迎的程度或是用戶留存率。對(duì)安全性來(lái)說(shuō),要關(guān)注檢測(cè)安全異常和在調(diào)查事件時(shí)提供取證能力兩個(gè)特定的日志需求。日志收集和分析達(dá)到理想化的要求幾乎是不可能的。海量的數(shù)據(jù)使存儲(chǔ)變得不切實(shí)際。

      日志流水線是處理并集中來(lái)自各種日志源的日志事件。日志流水線十分強(qiáng)大,因?yàn)樗峁┝艘粭l可以執(zhí)行異常檢測(cè)的單一管道。與每個(gè)組件自己執(zhí)行檢測(cè)相比,它的模型更簡(jiǎn)單,但是它在大型環(huán)境中的實(shí)現(xiàn)可能比較困難。圖2概括了日志流水線的核心組件。

      圖2 日志流水線分析

      日志和流水線包含了:用于記錄來(lái)自基礎(chǔ)設(shè)施各個(gè)組件的日志事件的收集層;用于捕捉和路由日志事件的流式處理層;用于檢查日志內(nèi)容、檢測(cè)欺詐并告警的分析層;用于歸檔日志的存儲(chǔ)層。允許運(yùn)維人員和開(kāi)發(fā)人員訪問(wèn)日志的訪問(wèn)層。強(qiáng)大的日志流水線為安全團(tuán)隊(duì)提供了監(jiān)控基礎(chǔ)設(shè)施所需的核心功能。

      3.2.2 入侵檢測(cè)

      入侵檢測(cè)在入侵基礎(chǔ)設(shè)施時(shí),攻擊者通常會(huì)按照以下四個(gè)步驟執(zhí)行:

      (1)在目標(biāo)服務(wù)器上留下惡意載荷。惡意載荷是一種非常小的后門(mén)腳本或惡意軟件,小到可以被下載和執(zhí)行而不會(huì)引起注意。

      (2)一旦部署,后門(mén)便會(huì)與母船建立聯(lián)系,通過(guò)命令與控制(CC,Commandand-Control)信道接收進(jìn)一步指令。CC信道可以采用很多種形式,包括:出站IC連接,在正文中隱藏特殊關(guān)鍵字的HTML頁(yè)面,或者在TXT記錄中嵌入命令的DNS請(qǐng)求。

      (3)后門(mén)執(zhí)行指令并在網(wǎng)絡(luò)中擴(kuò)散,掃描并入侵其他主機(jī)直到發(fā)現(xiàn)有價(jià)值的目標(biāo)。

      (4)找到目標(biāo)后,攻擊者勢(shì)必要盜取其中的數(shù)據(jù),很可能是通過(guò)另一條和CC信道平行的信道來(lái)盜取這些數(shù)據(jù)。

      對(duì)于網(wǎng)絡(luò)流量和系統(tǒng)事件,可以采用以下工具進(jìn)行觀察和分析:

      (1)入侵檢測(cè)系統(tǒng)(IDS,Intrusion Detection System):圖3展示了IDS如何通過(guò)持續(xù)不斷地分析網(wǎng)絡(luò)流量副本,以及如何通過(guò)持續(xù)不斷地在網(wǎng)絡(luò)連接上應(yīng)用可檢測(cè)欺詐活動(dòng)的復(fù)雜邏輯,來(lái)檢測(cè)CC信道。IDS擅長(zhǎng)對(duì)千兆字節(jié)的網(wǎng)絡(luò)流量中的欺詐活動(dòng)模式進(jìn)行實(shí)時(shí)檢查。

      圖3 IDS流量檢測(cè)拓?fù)鋱D

      (2)連接審計(jì):分析經(jīng)過(guò)基礎(chǔ)設(shè)施的全部網(wǎng)絡(luò)流量有時(shí)是不現(xiàn)實(shí)的。NetFlow提供了另一種審計(jì)網(wǎng)絡(luò)連接的方式,它通過(guò)將連接信息記錄在流水線中的方式來(lái)進(jìn)行審計(jì)。當(dāng)無(wú)法訪問(wèn)底層時(shí),NetFlow是審計(jì)IaaS基礎(chǔ)設(shè)施中的網(wǎng)絡(luò)層活動(dòng)的好方法。

      (3)系統(tǒng)審計(jì):對(duì)線上系統(tǒng)的完整性進(jìn)行審計(jì)是跟蹤整個(gè)基礎(chǔ)設(shè)施中發(fā)生一切事情的絕佳方法。在Linux中,內(nèi)核的審計(jì)子系統(tǒng)可以記錄在系統(tǒng)中執(zhí)行的所有系統(tǒng)調(diào)用。攻擊者在入侵系統(tǒng)時(shí)常常會(huì)在這種類型的日志中留下蛛絲馬跡,將這些審計(jì)事件發(fā)給日志流水線可以幫助檢測(cè)到入侵。

      入侵檢測(cè)難度很大,常常需要安全團(tuán)隊(duì)和運(yùn)維團(tuán)隊(duì)的密切合作。如果操作不當(dāng),這些系統(tǒng)就會(huì)占用本該用于運(yùn)營(yíng)生產(chǎn)服務(wù)的資源。3.2.3 事件響應(yīng)

      在任何組織中,遇到的最緊張的情況或許就是處理安全事故了。即使是最強(qiáng)大的公司,安全事件給公司帶來(lái)的混亂和不確定性也可能嚴(yán)重破壞其健康運(yùn)轉(zhuǎn)。在安全團(tuán)隊(duì)手忙腳亂地恢復(fù)系統(tǒng)和應(yīng)用的完整性時(shí),領(lǐng)導(dǎo)層也必須做好止損,并確保業(yè)務(wù)能盡快恢復(fù)正常運(yùn)營(yíng)。

      在應(yīng)對(duì)安全事件時(shí)應(yīng)該遵循的一套六階操作手冊(cè)。它們是:

      (1)準(zhǔn)備:確保有一套處理安全事件的最精簡(jiǎn)流程;

      (2)識(shí)別:迅速判斷異常是否是安全事件;

      (3)隔離:阻止破壞進(jìn)一步擴(kuò)散;

      (4)殺滅:消除對(duì)組織的威脅;

      (5)恢復(fù):恢復(fù)組織正常運(yùn)營(yíng);

      (6)總結(jié):事后進(jìn)行回顧并總結(jié)經(jīng)驗(yàn)教訓(xùn)。

      4 De v Op s安全保障

      完整的安全策略遠(yuǎn)遠(yuǎn)不是只涵蓋實(shí)現(xiàn)安全控制和事件響應(yīng)等技術(shù)方面的因素,持續(xù)安全中的“人”的因素才是實(shí)施風(fēng)險(xiǎn)管理的關(guān)鍵。

      4.1 評(píng)估風(fēng)險(xiǎn)

      對(duì)許多工程師和管理人員來(lái)說(shuō),風(fēng)險(xiǎn)管理就是制作花花綠綠的超大電子表格,任由它們?cè)谑占淅锒逊e如山。不幸的是,這種現(xiàn)象屢見(jiàn)不鮮,這導(dǎo)致許多組織放棄了風(fēng)險(xiǎn)管理。管理風(fēng)險(xiǎn)就是識(shí)別出威脅到生存和增長(zhǎng)的問(wèn)題,以及排列出它們的優(yōu)先級(jí)。電子表格中的花哨的單元格的確有用,但那并不是重點(diǎn)。好的風(fēng)險(xiǎn)管理必須達(dá)到以下三個(gè)目標(biāo):

      (1)頻繁快速地以小迭代的方式運(yùn)作。軟件和基礎(chǔ)設(shè)施會(huì)持續(xù)不斷的變化,一個(gè)組織必須能夠頻繁地討論風(fēng)險(xiǎn),而不是陷進(jìn)數(shù)周漫長(zhǎng)的流程中;

      (2)DevOps自動(dòng)化,手動(dòng)操作只是例外,而不是規(guī)則;

      (3)組織里的每個(gè)人都要求參加風(fēng)險(xiǎn)討論,構(gòu)建安全的產(chǎn)品和維護(hù)安全是整個(gè)團(tuán)隊(duì)的工作。

      4.2 安全測(cè)試

      成熟的安全程序的另一個(gè)核心強(qiáng)項(xiàng)是能夠通過(guò)安全測(cè)試定期評(píng)估自身的表現(xiàn)。通過(guò)測(cè)試策略如何在以下三個(gè)重要方面來(lái)幫助完善組織的安全性:

      (1)使用漏洞掃描、模糊測(cè)試、靜態(tài)代碼分析或者配置審計(jì)等安全技術(shù)手段對(duì)應(yīng)用和基礎(chǔ)設(shè)施的安全性進(jìn)行內(nèi)部評(píng)估。筆者將討論多種可以集成到CI/CD流水線中的技術(shù),它們將變成DevOps策略中軟件開(kāi)發(fā)生命周期(SDLC,Software Development Lifecycle)的一部分;

      (2)利用外部公司來(lái)審計(jì)核心服務(wù)的安全性。如果目標(biāo)正確,安全審計(jì)會(huì)給組織帶來(lái)很多價(jià)值,并且利于用新的思路和視角審視安全程序。通過(guò)有效地使用外部審計(jì)和“紅軍”,讓它們充分發(fā)揮作用;

      (3)建立漏洞報(bào)告獎(jiǎng)勵(lì)程序。DevOps組織通常會(huì)積極擁抱開(kāi)源并公開(kāi)發(fā)布大量源代碼。對(duì)于獨(dú)立安全研究人員來(lái)說(shuō),這是巨大的資源,他們會(huì)測(cè)試應(yīng)用,并報(bào)告他們?cè)诎踩陨系陌l(fā)現(xiàn)以換取幾千美元的報(bào)酬。

      完善一個(gè)持續(xù)安全程序需要好幾年的時(shí)間,但這些時(shí)間投入會(huì)讓安全團(tuán)隊(duì)變成一個(gè)組織產(chǎn)品策略中不可或缺的一部分。通過(guò)跨團(tuán)隊(duì)的緊密合作及對(duì)安全事件的妥善處理和技術(shù)指導(dǎo),安全團(tuán)隊(duì)將從他們的伙伴那里收獲保障客戶安全的信任。成功的持續(xù)安全策略的核心就是:將安全人員及其工具和知識(shí)盡可能地與DevOps中其他人拉近距離。

      5 結(jié)語(yǔ)

      要想真正保護(hù)客戶,安全性必須內(nèi)建到產(chǎn)品之中,必須和開(kāi)發(fā)人員還有運(yùn)維人員緊密合作。測(cè)試驅(qū)動(dòng)安全,監(jiān)控與應(yīng)對(duì)攻擊,以及完善安全性是推動(dòng)組織實(shí)現(xiàn)持續(xù)安全策略的三個(gè)階段。傳統(tǒng)的安全技術(shù),例如漏洞掃描、入侵檢測(cè)及日志監(jiān)控,都應(yīng)該被重復(fù)利用并進(jìn)行調(diào)整,以適應(yīng)DevOps流水線。

      猜你喜歡
      安全策略流水線安全控制
      基于認(rèn)知負(fù)荷理論的叉車安全策略分析
      Gen Z Migrant Workers Are Leaving the Assembly Line
      機(jī)械設(shè)計(jì)自動(dòng)化設(shè)備安全控制研究
      建筑施工現(xiàn)場(chǎng)的安全控制
      基于飛行疲勞角度探究民航飛行員飛行安全策略
      流水線
      淺析涉密信息系統(tǒng)安全策略
      報(bào)廢汽車拆解半自動(dòng)流水線研究
      如何加強(qiáng)農(nóng)村食鹽消費(fèi)安全策略
      SIMATIC IPC3000 SMART在汽車流水線領(lǐng)域的應(yīng)用
      峨眉山市| 白水县| 中卫市| 秦皇岛市| 乌拉特中旗| 顺昌县| 舒城县| 南江县| 出国| 屏山县| 贵南县| 垣曲县| 厦门市| 中牟县| 安化县| 密云县| 五原县| 丰台区| 昭苏县| 乐亭县| 大同市| 新巴尔虎左旗| 黑龙江省| 肇州县| 敦化市| 秭归县| 雷波县| 保靖县| 万盛区| 涟源市| 永德县| 济源市| 鄂州市| 林州市| 瑞金市| 南涧| 金沙县| 镇赉县| 桐柏县| 金溪县| 温泉县|