實現DevOps安全的最佳實踐

更快的軟件交付需求、利用公共云環境、微服務和容器，激起了業界的思考：安全性在DevOps領域到底是什么角色？

安全專家們不斷地探索如何將安全性融合到開發過程中。DevOps在企業生態系統中的采用率已經達到了較高的水平，因而它也成為了對網絡攻擊者很有吸引力的目標。特斯拉基于云的DevOps平臺被劫持是一個例子，它表明了為什么這些環境必須融合到企業的總體安全策略中，從而全面覆蓋不斷增長的攻擊面。

微服務和容器可以使應用程序的交付更快，并提升IT的效率。然而，這些技術的采用速度已經超過了安全技術發展的步伐。Gartner《如何無縫地將安全性整合到DevOps中》報告表明，有不到20%的企業安全團隊將其DevOps小組積極且系統地將信息安全融合到DevOps計劃中。例如，作為這些技術的核心功能之一，快速啟動和關機的能力已經為給企業帶來了巨大的安全挑戰。

不幸的是，由于如下的原因，DevOps安全（或稱為DevSecOps）往往表現得差強人意：

首先，多數安全專業人士并不熟悉DevOps方面使用的工具，尤其是在與其互操作性和自動化的功能方面，問題更為突出。

其次，多數安全專業人士并不知道什么是容器，更不必談論其獨特的安全挑戰是什么了。

第三，安全性被認為是DevOps靈活性的一種阻礙。

第四，當今的安全基礎架構仍是基于硬件的設計，往往落后于軟件定義和可編程的概念，所以，用一種自動化的方式將安全控制融合到DevOps過程就存在挑戰。

雖然微服務和容器提供了很大的好處，卻也帶來了新的獨特風險。通常，作為新出現的技術，微服務和容器并沒有將安全性內置到其中。在多數企業中，這些技術并沒有包含到企業的安全計劃中。由于這些技術有可能已經部署到企業內部，這些技術應當被認為是需要保護的攻擊面的一部分。

信息安全和DevOps團隊可以采取如下措施，以最大程度地減少這些技術和部署實踐中的攻擊面：

強化容器：企業需要保護底層操作系統的安全，防止由于主機感染而損害容器安全性。在此方面，Linux提供了幾個現成的安全模塊。

保障DevOps過程的安全：將特權訪問的管理實踐在整個DevOps中實施，以確保只有經過授權的用戶才可以訪問環境，并限制惡意人員的橫向移動。

漏洞掃描：在運行之前，對容器鏡像進行深度的漏洞掃描。

持續監視容器鏡像：通過檢測容器和主機中的根特權提升、端口掃描、逆向外殼以及其它的可疑活動，防止漏洞利用和攻擊。

最終，企業將持續地加速其微服務和容器的使用，用以提升其業務的效率和靈活性。相應地，網絡攻擊者也將利用這種攻擊面來達成其罪惡目的。為保護企業IT堆棧中的這個新層，DevOps應當與信息安全團隊協作，在應用程序的開發過程的早期階段就實施最佳實踐。