您的DevOps

安全嗎

?

DevOps流程已成為眾多企業的一個競爭優勢。但許多這類流程並不安全,給網路安全專業人員帶來了嚴峻的挑戰。下文講述Tenable如何提供給您相關的幫助。

DevOps讓企業領導者興奮不已。因為這種全新的軟體開發方法大大縮短了新服務的上市時間,從而使企業有可能超越競爭對手。這種方法還為各企業帶來了其他重要好處,例如,減少現有應用的維護時間以及提高已部署應用的質量和性能。因此,DevOps最終佔據主流地位也就不足為奇了。在一份研究報告顯示96%的企業已經實施或計劃實施 DevOps。DevOps將成為公司之間的一個關鍵差別,因為所有公司最終都將開發部署軟體應用。

但另一方面,DevOps讓安全負責人憂心忡忡。根據Puppet和DORA的最新DevOps報告指出,與IT業績不良者相比,IT業績優異者擁有成熟的DevOps流程,其部署代碼的頻率達到前者的46倍。原始數據顯示,IT業績優異者每年代碼部署次數超過1,400次,而IT業績不良者只有30次。遺憾的是,很大程度上,安全團隊與這種持續的軟體交付過程脫節,而依賴於針對瀑布式開發時代設計的下游安全門。

 

只有20%的企業在開發過程中納入安全測試,另有17%的企業表示,他們根本未使用任何技術來保護其應用。更糟糕的是,企業中安全團隊的人數往往少於開發人員,二者的比例為1:100。在資源有限的束縛下,安全團隊如何才能跟上DevOps的腳步呢?

駭客已經利用DevOps的不良網絡安全狀況來通過Docker Hub後門程序,完全開放的Kubernetes賬戶和未修補的Drupal Web應用實施惡意軟體攻擊。

 

目前的攻擊正在利用大量計算能力帶來加密貨幣收入,不難想像,未來針對敏感企業或客戶數據的攻擊將更加猖獗。

 

安全專業人員需要反思傳統的漏洞管理措施,積極採用新的安全方法來保護DevOps流程。Tenable相信,需要一個稱為網路風險的全新安全學科,來覆蓋廣泛的現代攻擊面〈例如,雲端服務、移動設備、物聯網/操作技術資產〉,並對漏洞數據提供新的深入洞察,以實現更準確的可見性和決策。

 

網路風險學科將幫助企業安全負責人納入新的DevOps安全原則,通過採取以下措施更好的管理和評估網路風險。

 

* 持續發現和掃描。不能因為每月或每季度的常規掃描而減少,DevOps 流程中的發現和掃描。持續的軟體交付意味著環境將不斷變化,因此就要不斷發現和評估安全風險。它應該貫穿軟體開發生命週期,貫穿它從開發到操作的整個流程,以便提供完全的可見性。

 

* 在 DevOps 流程中整全安全環節。安全測試和控制需要成為軟體開發生命週期中不可或缺的一個組成部分。而且要嵌入開發流程中。漏洞、惡意軟體和錯誤配置應與任何其他會降低代碼質量的軟體缺陷一視同仁,並應在開發生命週期中盡早進行修復。

 

* 安全工作流程的自動化。為了支持 DevOps 的規模和速度,必須使用 API 以編寫方式將安全控制文件公開到DevOps系統中,以便在整個軟體開發生生命週期中利用自動化的優勢。例如,安全測試並不是在預定義的安全門之間手動評估安全狀況,而是能夠自動觸發,對所有新版本在創建之時即實施評估。

Tenable提供各種解決方案,為您的DevOps之旅保駕護航。Tenable.io 中的雲連接器持續追蹤資產變化,確保了解所有雲端工作負荷,並實施安全風險評估。Tenable.io 容器安全功能作為插件,納入整合和持續交付(CI/CD)系統。在開發期間修復漏洞和惡意軟體。Tenable.io 中的詳盡 API讓您能自動執行安全掃描,並在工作流程中整合控制元件。

月初時,Tenable 宣布了Tenable.io 平台幾項新的增强功能,其支持異構雲平台,使安全環節能夠納入從構建到生產的整個軟體開發生合週期中。

 

想要了解有關保障 DevOps 安全的更多信息?以下資源將為您提供幫助:

觀看我們的網絡研討會點播:保障 DevOps 安全,來自專家的建議,其中有三位 DevOps 安全跨學科專家參加 https://www.tenable.com/webinars/panel-discussion-securing-devops-advice-from-the-frontlines

訪問我們的應用安全與 DevOps 解決方案頁面

https://zh-cn.tenable.com/solutions/application-security

 

閱讀我們的文章DevOps 時代的信息安全:協調衝突的必要性 https://www.tenable.com/whitepapers/information-security-in-the-devops-age-aligning-conflicting-imperatives

 

免費試用 Tenable.io 60 天

https://www.tenable.com/products/tenable-io/vulnerability-management/evaluate

創泓科技股份有限公司  台北總公司

Uniforce Technology Corporation

台北市內湖區洲子街77號10樓

電話 +886-2-2658-3077 

傳真 +886-2-2658-3097

服務專線 0809-085-580

技 術 客 服    0809-085-580

業 務 部 門    台北 - 222 / 221 / 205 / 226 / 288

技 術 部 門    台北 - 301 / 302 / 303 / 308 / 309

Copyrights © 2019 uniforce Technology Co., Ltd.