博客

安全问题不容孤岛化

Lori MacVittie 缩略图
洛里·麦克维蒂
2019 年 6 月 24 日发布

它始于 DevOps。 然后是 NetOps。 现在是 SecOps。 或者是 DevSecOps? 或者可能是 SecDevOps?

不管你决定如何称呼它,最终的结果往往不过是换了新名字的旧筒仓而已。 我们过于关注“我们该如何称呼这些人”,以至于有时我们忘记“我们到底想要实现什么”。

伟大的诗人第一次在他对玫瑰的评论中说出这句话——无论玫瑰换了什么名字,它的香味仍然一样芬芳。 今天,让我们将其应用到运营游戏中不断崛起的派系数量中。 如果你不改变你的核心行为和做法,那么改名就没有任何意义。

当云计算首次兴起时(双关语),有很多专家对企业构建私有(内部部署)云的努力不以为然。 因为它不符合他们想要与云关联的精确定义。 他们忽视了结果才是衡量成功的标准,而不是符合别人的迂腐定义。 他们通过改变基础设施的配置和管理方式来追求灵活性、效率和速度。 他们通过使用技术改变了行为做法

如今,术语之争的焦点是X-Ops以及我们称之为最新出现的安全性。

我知道我使用过这些术语,有时我会同时使用它们。 但或许我们需要的是更少的区别。 也许我应该说,你要么在行为和实践方面采用“现代操作”,要么仍然保持“传统操作”,仅此而已。

现代操作采用云和自动化等技术来构建管道,对流程进行编码,以加快应用的交付和部署。

他们通过改变行为和做法来做到这一点。 他们善于合作和沟通。 他们利用技术来更新和优化阻碍交付和部署的数十年历史的流程。 他们共同努力,而不是以孤立的 X-Ops 团队的形式,实现更快、更频繁发布产品的目标,为企业带来价值并取悦消费者。

在他们开始采用现代操作时,只关注所谓的“安全”可能会损害基本前提,即交付和部署只能通过协作方式快速成功。 给新的专注团队贴上新的标签只会建立不同的孤岛;它不会打破这些孤岛并打通快速和大规模运营所需的沟通渠道。

它还无意中允许其他非安全操作人员将安全责任移交给 <SecDevOps | DevSecOps> 团队。 因为它是以他们的名义写的,对吧?

这是一个越来越糟糕的想法,因为应用安全是一个堆栈,因此需要一个完整的堆栈来实现正确的保护。  您需要网络安全和传输安全,并且您肯定需要应用安全。 应用程序的攻击面包括所有七层,并且越来越多地包括其运行环境的堆栈。 当谈到安全时,不存在孤岛。

IT 在进行数字化转型时,其重点应该是实现运营的现代化——从技术到使用技术进行创新并为企业带来价值的团队。 现代的操作并不会被头衔的关注所困扰,他们热衷于产生结果。 现代操作协同工作、自由沟通、跨关注点协作,以构建高效、适应性强的交付和部署流程。

这需要网络、安全、基础设施、存储和开发专业知识的共同努力。

在网络中,我们使用标签来标记流量并应用策略来控制哪些设备可以与哪些基础设施和应用通信。 在容器集群中我们使用标签来隔离和限制、约束和禁止。

组织中的标签可能会产生同样的影响。

因此,如果我们只说你是现代操作还是传统操作,也许会更好。 有些则处于两者之间的过渡状态。 我们不要再花费太多的时间在如何互相称呼上,以免错过创建协作环境的机会,在该环境中可以更快、更频繁、最重要的是更安全地交付和部署应用程序。