找到讓開發者可以做其想做,可以掌控開發時間與速度的方法。
從企業承受的網絡攻擊,因為向云的遷移而出現的新網絡威脅。云帶來了很多業務上的好處:敏捷性、可擴展性、開支節省,但往往安全跟不上。如何達到云端敏捷安全,就成為了很多公司部署云環境時遇到的一大挑戰。
Xero為會計師和小企業服務的云會計平臺,過去1年中幫助開發人員安全發布了超過1,400個新產品功能和更新。下面是Xero的10條指南:
1. 改變開發和運維團隊的思維
開發和運維團隊常將安全視為生產力絆腳石。雖然云的出現已經將開發和運維弄得更緊密了,安全卻往往是一個例外般的存在。要從一開始,就引入能展現安全可跟上開發速度的新視角。
2. 向安全團隊引入開發安全運維(DevSecOps)方法
為推進項目,持續迭代和部署新產品及解決方案,Xero征召了自己的安全團隊,稱之為“安全即服務”,讓他們可以在Xero內部以供應商的方式運轉。其快速響應團隊也全天候工作,產品安全團隊則與公司其他部門并軌運行。
3. 標準化核心安全原則
想要既保持敏捷和安全,又創建“時刻在線”的文化,Xero嚴格執行3個核心安全原則:API驅動的安全、快速安全和按需安全。該3原則可映射回開發安全運營。
4. 采納“API驅動的安全”
Xero擺脫了人工登錄到控制臺管理安全系統的傳統方式。通過去除過程中的人類因素,該公司建立了持續集成方法,實現了交付一致性。例如,一旦某條安全策略需要調整,Xero能立即做出該調整,消除系統中的不一致或非必要的中斷。
5. 創建安全快速響應團隊
Xero也意識到,快速響應時間是科技公司競爭優勢不可或缺的東西。為推進“快速安全”,Xero的安全團隊實現了持續衡量、測試和監視以進行快速迭代。
6. 利用云
為實現“按需安全”,Xero部署了云技術,確保其安全態勢是動態的,并與其他主流企業安全廠商緊密合作,打造適合按需安全系統的可擴展商業和技術模型,讓Xero的安全團隊可以根據需要擴充或削減基礎設施。
7. 部署代碼驅動的安全基礎設施
安全不應該一次次從頭來過。Xero代碼驅動安全基礎設施,讓安全系統建立和管理過程得以自動化,并具備可重復性。
8. 重視可見性和管理
Xero只想為自己真正用到的資源付款,而不是浪費錢財在高峰云使用上。與AWS及其他廠商的合作,讓Xero得以在基礎設施上采納敏捷響應方法,并建立動態商業和支持模型。端到端可見性也讓Xero可以用細粒度的方法管理其開源工具配置,助力安全團隊跟蹤云服務器的部署、使用和管理。
9. 采用彈性和自動化
作為深度防御策略的核心租戶,Xero在主機級別進行監視、檢測和防御。該策略是Xero敏捷安全方法的核心,貫穿部署和運營過程。
10. 決策者的安全支持
有了主要決策者的認同和支持才能達到目的。為鞏固其敏捷安全支持,Xero的決策者從頭到尾勠力支持。Xero知道安全和速度并不是互相排斥的;如果安全團隊不敏捷,可能會束縛到公司的腳步。一旦工作受到頂層的支持,Xero便成就了持續且安全的敏捷安全創新。
京公網安備 11010502049343號