不久前，DevOps 和云部署模型首次出现。从那时起，他们为企业 DevOps 提出了许多问题和挑战，尤其是在安全方面。

一个挑战是将 DevOps 和安全性结合在一起，就像 DevSecOps。DevSecOps 力求将安全作为软件开发生命周期的一部分，使其不仅仅是事后的想法，使其成为现代信息安全专业人员成功所需的关键组成部分。

DevOps 的核心是对业务不断变化的需求、期望和环境做出快速反应的实践。随着业务预期的变化，运行和保护业务的代码也必须发生变化。能够预测业务需求并主动修补或升级对于跨云运行应用程序至关重要。

那么，您如何确保开发人员将安全代码交付到生产环境中呢？DevSecOps 需要为开发人员提供以安全为中心的新思维方式，然后他们需要在生产中保护软件的方法。

以下是我的团队看到的一些新的安全实践，它们将有助于 DevSecOps 的发展。

转移安全责任

所有开发人员都应该了解他们编写的代码中安全性的重要性。安全代码提高了软件的价值，开发人员需要了解糟糕的安全实践会产生有害后果。安全代码的持续交付涉及使用安全工具、服务和平台来识别漏洞，同时仍以业务速度移动软件。重点将安全性向左转移到开发阶段。

尽管如此，安全代码的开发和交付必须贯穿应用程序的整个生命周期。例如，在新软件中为传输中的数据、设备管理、用户身份验证和访问控制内置安全控制至关重要。云和容器都已成为 DevOps 模型的关键元素，它们的安全考虑必须充分了解。

只要有可能，开发团队应与发布工程团队合作，为负责任的软件发布建立自动化流程，这意味着每个发布都会自动评估其安全状况。

最好使用由 DevOps 组织管理的集中式策略引擎进行大规模部署，用于本地和云部署。

您还需要弄清楚您的 DevSecOps 策略以及它如何影响您的工程、运营和客户安全。您需要确定您面临的安全风险以及如何预防这些风险。如果您创建了一个基于平台的安全策略来跟上不断发展的安全趋势，那将会有所帮助。您的基于平台的安全策略必须与您正在使用的应用程序堆栈无关，并且与您正在保护的端点无关。

最好是阻止攻击者离开网络并在其他地方继续他们的活动，通常是通过全球威胁情报网络跟踪他们。您需要了解他们的目标和基础设施，并防止他们再次这样做。如果你不这样做，他们可能会在你的基础设施中站稳脚跟，并扩大他们的活动，因为他们发现它们是一个有吸引力的目标。

您的基础架构、应用程序服务和网络安全需要是云原生的、支持 DevOps 和软件定义的，以提高可扩展性和灵活性并加快您的 DevOps 转型。您需要将这些元素纳入您的安全策略和实施，并且您需要参与 DevOps 社区以协作和共享知识。您还必须确保 DevOps 和云部署模型的成熟度，并在整个开发、测试和部署生命周期中分享经验。

您还必须将 DevSecOps、ComPSEcOps 和 CloudSecOps 传达给您的开发、运营和安全团队，以确保每个人都了解您的战略背景和现有的敏捷发布管理实践。

设定你的目标

除了了解所有这些问题之外，还必须审查公司正在使用的所有安全流程。这可能包括审查和审计现有系统或审查现有基础设施和补救任何问题。

如果没有目标，您不应该期望这些变化会很快发生。尽管如此，随着 DevSecOps 运动的发展，我们将看到持续的进展。

• 点击此处，阅读《Thales Luna HSM简化DevOps安全性》
  

• 点击此处，阅读《在 DevOps 中实施数据保护和密钥管理而不减慢速度》

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 勒索软件制裁：有什么影响？

• 关于“欧盟-美国数据隐私框架”的问与答

• 不断变化的数据保护法规表明为什么企业必须将隐私置于核心位置

• 如何遵守不断变化的数据保护法规

• Thales提前完成收购Imperva交易