我所在的企業(yè)希望DevOps能更快開發(fā)和部署應(yīng)用,但在應(yīng)用生命周期管理中,我們應(yīng)該如何保護(hù)加密和數(shù)字密鑰?
Judith Myerson:DevOps應(yīng)用程序生命周期管理由兩部分組成。在第一部分,開發(fā)人員構(gòu)建并測(cè)試應(yīng)用,以發(fā)現(xiàn)編碼錯(cuò)誤。在第二部分,生產(chǎn)操作人員部署并監(jiān)控該應(yīng)用。如果應(yīng)用沒有正常運(yùn)行,生產(chǎn)操作人員和開發(fā)人員將協(xié)同解決問題。這個(gè)生命周期不斷重復(fù),直到應(yīng)用可在實(shí)際生產(chǎn)環(huán)境中正常運(yùn)行。
這種DevOps應(yīng)用生命周期管理方法的缺陷是,在開發(fā)或者測(cè)試生產(chǎn)階段可能被忽略的加密安全風(fēng)險(xiǎn)將轉(zhuǎn)移到實(shí)際生產(chǎn)系統(tǒng)。
風(fēng)險(xiǎn)管理分析師和安全專家并不是標(biāo)準(zhǔn)DevOps團(tuán)隊(duì)的一部分。在每個(gè)DevOps生命周期階段,風(fēng)險(xiǎn)管理分析師評(píng)估風(fēng)險(xiǎn)以及確定安全控制。而安全專家則確定可使用哪些具有成本效益的安全工具(自動(dòng)和手動(dòng))來緩解風(fēng)險(xiǎn)。
Dimensional Research有關(guān)加密安全和DevOps應(yīng)用生命周期管理的研究表明,在擁有成功DevOps實(shí)踐的企業(yè)中,89%的企業(yè)意識(shí)到需要安全控制來抵御攻擊。而在部署DevOps的企業(yè)中,只有56%意識(shí)到這些控制的作用。
我們需要工具來阻止攻擊者成功攻擊DevOps密鑰和證實(shí)書,攻擊者可能隱藏在加密流量中來避免檢測(cè)。
根據(jù)A10 Networks的報(bào)告顯示,41%的網(wǎng)絡(luò)攻擊使用加密來規(guī)避檢測(cè)。
如果你想要保護(hù)密碼和數(shù)字密鑰,請(qǐng)遵許以下步驟:
1.為每個(gè)生命周期階段制定計(jì)劃
2.從內(nèi)部部署到云端,應(yīng)考慮應(yīng)用變化
3.DevOps團(tuán)隊(duì)?wèi)?yīng)包含風(fēng)險(xiǎn)管理分析師和安全專業(yè)人士
4.制定有效的意識(shí)計(jì)劃
5.構(gòu)建DevOps工具包來防止加密和數(shù)字攻擊。
京公網(wǎng)安備 11010502049343號(hào)