DevOps过去几年一直是IT圈子热门题目理解DevOps本身不是产品或市场很重要IDC不会很快预测DevOps市场规模(尽管他们预测DevOps工具),
DevOps软件开发法使应用开发与IT操作相匹配DevOps愿景实现时,IT不得不采用数项新工具和技术自动化工具、容器化和管弦平台等新工具实例DevOps进程与遗留进程大相径庭,因此IT部门需要新技术支持这一转移是有道理的。
安全方面呢变化如何事实是安全延后实现向DevOps过渡为了更好地了解安全需要演进,我采访PJKirner、CTO和安全启动Illumio创建者,Illumio开发产品时着眼于解决DevOps安全挑战
PJ和我讨论如何通过DevOps为组织制造更多安全风险DevOps的主要驱动程序是敏捷和快速开发对大多数组织来说,这意味着许多小项目从概念发展到部署比传统应用快得多并意味着更多分散控制,因为许多不同团队可同时运行这些小项目
对安全队来说 问题很多首先是理解风险变得更难复杂传统IT开发部署时间长,安全团队在发展周期结束时有时间加固安全DevOps启动前提高可见度可能安全漏洞比较复杂,因为不需要数周或数月来确保安全硬化
自动化是DevOps的基石之一,所以安全也需要自动化是合理的然而,传统安全工具使用DevOps实践实现安全自动化存在一些重大挑战。其中包括:
- 安全策略依赖不弹性网络参数导致僵硬安全架构无法适应应用或基础设施变化
- 大量防火墙规则需要审查时环境变化或新应用规则通常是人工调和的,这往往会使过程步步停顿
- 传统安全产品缺少自动化安全管理并融入DevOps工具所需要的API
- 无法视觉化工具执行前“看到”配置修改缺乏可见度使得作出知情安全决策具有挑战性
Kirner和我谈了为什么IT有急事 实现DevOps安全自动化他给了我五大理由,包括:
- 确保安全不孤单回锁
- 安全团队当前需要详细可见性输入计算环境以准确评估安全漏洞
- 安全平衡企业目标持续软件提供模型确保与企业目标更好地接轨
- 通过标准安全配置快速部署
- 性能更好的基础设施和操作团队不再灭火并按不切实际时间框架工作
解决这些挑战需要安全工具 专门设计DevOps思想Kirner列出Illumio五大属性,使其产品与DevOps工作方式相匹配
- 安全策略使用应用上下文而非完全依赖IP地址,使DevOps能够在应用生命周期的每个阶段定义并包括安全变化,而不是仅端端(见下图)。
- API帮助安全整合第三方管弦工具,如Putope和Ceer
- 直播验证安全策略
- 允许应用自动继承上下文策略
- 快速开发时间, 因为开发者不再需要等待开发完成后添加安全策略
安全挑战向DevOps转移时, 我想明确指出PJKirner对哲学非常霸道 并感到它有巨大的价值关键是思考如何像应用开发周期其余部分那样提高安全敏捷度