应用安全性正在向左移动。 因此,DevOps 团队对安全的责任越来越大。 虽然 DevOps 在开发生命周期流程方面的专业知识使他们能够在软件生命周期的早期有效地引入安全要求,但这些团队可能没有足够的资源来预测威胁,或者没有足够的专业知识来实施保护现代应用所需的各种安全解决方案和策略。
原生云安全服务为 DevOps 和业务部门开发人员提供特定于平台的选项,可很好地满足许多应用要求。 然而,随着企业越来越多地采用多云解决方案,这些原生服务的成本开始超过其收益。 在单个云平台上只需少数安全服务就足够了,但在两个或多个云平台上则需要许多安全服务来提供相同的保护。 每个平台都有自己的身份管理要求、安全策略、API 和管理程序,从而降低了整体效率。 提高运营效率和安全性是企业数字化转型计划和企业领导目标的首要任务。
与本机安全服务相关的实施和管理复杂性是运营效率低下的第一个重要来源。 管理多个本机安全服务的所有组件所带来的困难可能会给企业带来严重的负面影响。 错误配置导致的安全漏洞 在 66% 的攻击中被利用(攻击者利用 Web应用防火墙的漏洞来访问帐户凭据,或者攻击者利用错误配置的资源)。 DevOps 工程师的任务是确定最快的上市时间。 减少维护和理解多个云提供商的安全策略相关的开销可以让 DevOps 团队更好地将注意力和资源集中在该目标上。
转向可以在多云环境中的所有应用中实施一致安全策略的第三方供应商可以显著减少 DevOps 团队的安全实施开销。 使用此类服务可以减少安全错误配置被推送到生产环境的频率。 它通过为 DevOps 团队提供一套可用于标准化的自动化工具,简化了 CI/CD 管道中策略和配置的集成,从而允许将安全服务集成到现有的企业自动化工具链中。
低云基础设施安全可见性是使用本机安全服务导致运营效率下降的另一个原因。 尽管组织在使用本机服务时受益于更快的部署,但 36% 的受访者承认,这些本机服务不能提供对云安全基础设施的充分可见性。 虽然 DevOps 团队越来越多地承担应用安全的部署和管理任务,但企业安全监督和报告仍然是 SecOps 的职责。 分布式和原生云安全服务意味着安全报告和分析默认也将是分布式和特定于云的。 分析的分布式特性混淆了整个系统的安全状况。 因此,SecOps 团队可能只能 给出独立的、针对特定提供商的建议。 使用通过标准化多云安全供应商实施的通用安全服务可确保所有应用共享相同的安全策略。 这使得 SecOps 能够根据共享安全分析以有利于整个系统的方式提出建议。
需要采用多云安全策略来确保跨不同云提供商的合规性,这是本机安全服务运营效率低下的另一个原因。 DevOps 团队必须遵守内部和行业的安全要求。 从历史上看,集中的信息安全团队帮助建立和审核跨应用的安全控制,特别是在处理敏感或受保护的个人信息的医疗保健和金融服务等组织中。 随着应用安全性的左移,DevOps现在与SecOps一样负责维护与企业安全要求的一致性。 当本机安全策略特定于特定云提供商时,很难维护企业安全要求(无论该提供商是 AWS、Azure 还是 Google Cloud)。 审计效率也降低。 部署通用的多云安全策略可减少审核安全配置所花费的时间。 可见性解决方案的加入可以让组织创建一站式服务,从而降低合规性测试的复杂性并改善跨团队协作。
应用开发惯例的变化增加了属于 DevOps 职权范围的安全相关责任。 因此,将这些团队称为 DevSecOps 并将其视为 SecOps 安全运营模型的一部分更为准确。 继续使用本机的、特定于提供商的安全策略会增加大量管理开销,从而消除 DevOps 模型的许多好处。 围绕多云企业安全解决方案的标准化提高了运营效率并创造了与新的战略安全合作伙伴建立联系的机会,从而减少了进入多云环境时运营效率损失的可能性。