DevOps的是软件开发中最热门的趋势之一。这是所有关于帮助企业实现敏捷的服务交付 - 即,从移动应用开发测试部署尽快。
快速应用部署可能似乎与强大的安全实践机会,这往往采取消极怠工的方式来新增或更改应用程序,以验证该应用程序让他们之前可以安全触摸实时数据或业务网络 - 或者暴露在互联网上或客户。
幸运的是,没有什么固有的风险或有关的DevOps和敏捷的服务交付危险,只要创建正确的安全策略和遵循,以及确保合规性,如果自动化消除不必要的延误。
这是什么“的DevOps”的事情吗?
DevOps的,或开发运营,是两个趋势的混搭,是应用敏捷软件开发方法来管理IT运营,并提高开发人员和IT之间的历史差协作人员组成。该DevOps的运动认识到,我们过去,开发人员在一个筒仓工作编写软件,并把它翻墙到另一个仓,管理员管理应用程序的时代。在DevOps的模式,大家一起为整个软件生命周期,从构思到设计,从编码到测试,从实施到管理,从提高移民,最后从更换到退役。
在实践中,DevOps的经常被用来专指应用管理的运营方 - 换句话说,大家除了软件架构师,设计师,程序员和测试人员。这就是我们将如何在这里使用的DevOps,指应用程序生命周期的非开发功能,包括安全管理。
这里有一个DevOps的好底漆:“3个键开始使用DEVOPS,“布兰登巴特勒,这里是它的挑战一个很好的即兴”为什么大家都讨厌的DevOps“,由弗雷德里克·保罗。
DevOps的往往是与云相关的,但它适用于非云的活动也是如此。当然,DevOps的崛起恰逢基于云的PaaS(平台即服务)和IaaS(基础设施即服务)的普及,因为管理上,比如说,亚马逊Web服务开发和部署服务传统的IT团队并没有要求或者微软Azure。然而,没有什么固有的,可以不适用于开发,测试和部署在传统的数据中心应用的DevOps。雷竞技电脑网站
虽然它可能看起来安全政策必须DevOps的减缓,事实是,安全性并不需要有负面影响,特别是如果开发商和DevOps的避免连接需求不必要的更改,以避免不必要的触发安全审查 - 如果的DevOps在正确的测试基础设施和网络规则看跌自动为那些需要连接的变化情况下的安全测试和政策变化。
设立环境
在过去的日子,一切都慢。传统的应用程序部署过程十分冗长和流程驱动。每次发布前人力驱动安全审查适应这些进程。相比之下,DevOps的是迭代的软件功能的增强和快速建立的目标的敏捷过程。那敏捷的一部分来自自动化这些应用由开发业务人员的部署。
那么,关于所有重要的安全审查?对于一些前期工作,可以担保权融入的DevOps不牺牲灵活性和敏捷性。
通过使用防火墙和启动的VLAN(虚拟局域网)创建具有相同配置的安全开发,测试和生产环境。这适用无论是在云中或在数据中心,开发商在符合他们的生产环境,交通的权限方面的数据离开应用程序服务器雷竞技电脑网站,将应用服务器,达到了数据库,访问内部和外部的环境中工作的API,通过负载均衡和内容过滤器等,在驱动。
在开发过程中执行安全审查
确保这些环境是紧锁定 - 和开发商没有钥匙,甚至到他们的开发环境。如果他们想给应用程序和服务器资源的访问,像那些在本地数据库或基于云的API,他们需要记录这些请求,并提交了安全审查。这意味着随着企业数据的安全团队来记录和验证的API和URI,本地IP地址和端口等上工作。
一旦安全审查完成后,企业数据安全人员打开端口,启用虚拟隧道,并重新编程的防火墙规则适当。而这里的关键:同时进行的开发,测试和生产环境进行同样的修改。这样一来,如果新的安全规则不工作,每个人都在开发过程中知道这一点 - 而且有很好的保证,如果安全规范的开发工作,他们会在测试和生产工作。
应用程序部署现在并不需要一个安全审查
根据定义,如果在开发过程中的网络资源和途径的安全审查发生,那么它应该是良好的部署。这需要IT安全团队采取安全审查认真,看着一切:黑客中,数据泄露即将现身,符合HIPAA和PCI等。当然,这期间开发的并非绝对必要,但如果彻底执行安全审查的第一次,它不应该需要做第二次。
DevOps的的一个关键部分是敏捷开发和部署:应用程序没有完成,但不断发展,如在两周冲刺争球开发方法。一般来说,对于应用程序的连接需求不应该改变从周复一周。但是,当他们这样做 - 比如增加新功能时 - 开发者可以在该功能的开发冲刺过程中带来的安全审查队管理启示。
比方说,例如,应用程序利益相关者要求,即应用零售商店位置的实时映射。这可能意味着,开发商将开始使用谷歌地图API。默认情况下,向下锁定在开发,测试应用程序服务器和生产环境将无法访问该API;尝试去跟它会失败,因为防火墙或VLAN不允许的通信。这是良好的安全性。
一旦开发商已通知IT安全人员,应用程序需要访问谷歌地图API,安全团队可以验证API的安全,决定从谷歌的服务器直接流量/最好的办法,而且对网络进行正确的变化安全设定。瞧!开发人员可以编写和测试自己的代码,并且可以DevOps的自动部署代码知道它是安全的,不会违反安全策略,并且由于连接故障不会崩溃。(安全审查还提供了一个机会,审查许可条件与法律 - 一些开发人员常常忘记做)
四个关键步骤来实现安全的DevOps
开发人员希望在光的速度码,和DevOps的要支持快速创建,测试和代码部署。没关系的开发,测试和部署环境是否在云中。该秘密保护与DevOps的敏捷的服务交付是:
- 相同配置的开发,测试和部署环境。
- 在开发过程中执行所有重要的连接进行安全审查。
- 根据需要对所有三种环境的变化主动。
- 确保只有IT安全团队可以调整网络连接,VLAN和防火墙。
按照所有这些步骤,DevOps的是快速,安全,可靠。