博客

弥合鸿沟: 灵活性和安全性

罗伯特·海恩斯缩略图
罗伯特·海恩斯
2019 年 5 月 1 日发布

当您需要两件东西,但“每个人都知道”这两件东西是互相排斥的,您会怎么做?

网络和安全社区中一直存在一个误解:安全软件架构不灵活,敏捷交付的软件不太安全。  但是等等——有没有证据表明使用迭代模型开发的软件本质上不太安全? 如果有的话,我的“研究”(阅读: 谷歌搜索后并没有找到。   

事实上,您可以提出一个可信的论点,即更快的交付周期和自动化、简化的发布流程可以减少整体漏洞暴露时间,从而降低风险。    

那么,灵活性和安全性之间真的有鸿沟吗? 遗憾的是,我还是会说,是的,有。 

然而,我并不相信敏捷软件生命周期会引入任何固有的代码漏洞(尽管一些新的平台 - 如容器管理系统肯定会引入新的攻击面),因为应用代码只是组织整体安全态势的一部分。

认识到所有软件都存在缺陷,IT 技术堆栈还包含应用代码外部的安全控制,例如网络防火墙、入侵检测系统和 Web应用防火墙。 其中许多系统需要跟踪应用行为并应对框架或操作系统中新发现的威胁。 理想情况下,这些系统需要与软件交付生命周期一样敏捷。 因为如果不是这样,那么就会发生以下两种情况之一:要么安全控制被视为影响交付速度和价值实现时间,要么它们不会提供所实施的保护。 这两件事都不是最佳的。  

显而易见的解决方案是将安全控制模型转向更接近软件交付生命周期模型,事实上,DevSecOps 运动已经开始应用软件工程和 DevOps 实践来提供安全控制,并与团队中的每个人分担安全责任,即使深厚的专业知识仍掌握在经验丰富、专业的从业团队手中。

与这种文化转型相匹配的是技术的进步,其中安全控制的实施被集成到软件交付流程中。 安全控制伴随每次新软件迭代进行测试、准备和部署,而不仅仅是在最后附加上去。 其中遥测和可跟踪性元素被注入并跟踪到堆栈中的多个点。 可以快速收集和分析有助于识别、追踪和报告对手的新指标。 

为了实现这一点,您的技术堆栈需要与您的团队进行尽可能多的协作。 这是未来 F5 + NGINX 组织中最有趣的可能性之一。 通过从网络防火墙到应用服务器以及其间所有层的产品组合,实现更灵活、更集成、更具信息量的安全控制的可能性非常大。 企业级安全性和可视性加上轻量级敏捷性的承诺有可能为团队中的每个人提供他们正在寻找的工具、信息和(相对)安心。

有关 F5 与 NGINX 合作的优势的更多信息,请参阅 F5 首席执行官介绍“弥合鸿沟”博客系列的文章。