許多組織都面臨著新的網(wǎng)絡(luò)安全問(wèn)題，因?yàn)樗鼈兿Ｍ涌熳陨砗涂蛻?hù)的數(shù)字化轉(zhuǎn)型。與此同時(shí)，信息技術(shù)（IT）和運(yùn)營(yíng)部門(mén)正面臨著聯(lián)合和創(chuàng)新以實(shí)現(xiàn)其企業(yè)數(shù)字化目標(biāo)的挑戰(zhàn)。

通常情況下，公司希望加快速度，安全團(tuán)隊(duì)需要保護(hù)組織，這會(huì)導(dǎo)致摩擦，減緩進(jìn)展。許多企業(yè)以流程、決策和經(jīng)驗(yàn)的形式提供網(wǎng)絡(luò)安全的方式并沒(méi)有以其自身變革的速度、速度和速度發(fā)生。

CISO困境

首席信息安全官（CISO）有責(zé)任保護(hù)其企業(yè)。通常，他們通過(guò)建立經(jīng)過(guò)戰(zhàn)斗考驗(yàn)的策略、標(biāo)準(zhǔn)和服務(wù)來(lái)實(shí)現(xiàn)這一點(diǎn)，這些策略、標(biāo)準(zhǔn)和服務(wù)將成為治理模型。這就產(chǎn)生了一種運(yùn)營(yíng)模型，這種模型試圖在優(yōu)先考慮風(fēng)險(xiǎn)和安全性的情況下來(lái)平衡推向市場(chǎng)的趨勢(shì)。網(wǎng)絡(luò)安全團(tuán)隊(duì)希望成為創(chuàng)新的推動(dòng)者，而不是被視為障礙。但是，為了促進(jìn)轉(zhuǎn)換，除了幫助其他人采用安全意識(shí)的文化外，它們本身還必須進(jìn)行轉(zhuǎn)換。

云計(jì)算中的安全軟件交付

過(guò)去的舊版應(yīng)用程序看起來(lái)與現(xiàn)代的云原生應(yīng)用程序不同。由虛擬機(jī)管理程序管理的裸機(jī)或虛擬機(jī)已組織成三層應(yīng)用程序（Web服務(wù)器、Web應(yīng)用程序和數(shù)據(jù)庫(kù)），這已成為數(shù)十年來(lái)的慣例。今天，我們?nèi)匀豢梢栽诳蛻?hù)中看到這種模式，但是這個(gè)據(jù)點(diǎn)正在讓位于云原生應(yīng)用程序。

云原生應(yīng)用程序是商品化和開(kāi)源爭(zhēng)奪解決方案堆棧（包括操作系統(tǒng)（Linux）、云計(jì)算、軟件定義的網(wǎng)絡(luò)以及最近的容器）不斷發(fā)展的結(jié)果。甚至接口方法也已經(jīng)商品化（請(qǐng)考慮應(yīng)用程序編程接口）?！皯?yīng)用”一詞的定義正在不斷發(fā)展。現(xiàn)在，過(guò)去的巨石被分解為一系列微服務(wù)，這些微服務(wù)由Kubernetes（k8s）進(jìn)行容器化和管理。

隨著體系結(jié)構(gòu)的根本變化和當(dāng)前應(yīng)用程序的結(jié)構(gòu)，安全問(wèn)題也在不斷發(fā)展：

· 在云原生模型中，威懾，預(yù)防，偵探和糾正措施的應(yīng)用方式有所不同。

· 攻擊面是不同的（圖像，名稱(chēng)空間和服務(wù)帳戶(hù)在過(guò)去的遺產(chǎn)計(jì)算模型中不存在）。

· 攻擊面的數(shù)量更大（微服務(wù)固有地比整體服務(wù)具有更多的服務(wù)間通信）。

· 攻擊面是短暫的（從零縮放和動(dòng)態(tài)縮放功能可以暴露在定期掃描和審核之前可能已經(jīng)消失的漏洞）。

擴(kuò)展DevOps以包括安全性

在DevOps流行之前，安全團(tuán)隊(duì)通常在項(xiàng)目后期參與評(píng)審，在應(yīng)用程序投入生產(chǎn)之前提供指導(dǎo)。安全性只在開(kāi)發(fā)過(guò)程的最后才被考慮，如果發(fā)現(xiàn)問(wèn)題就會(huì)導(dǎo)致延遲。這導(dǎo)致了更大的補(bǔ)救成本。

DevOps的初衷是在生命周期的早期將兩個(gè)不同的交付利益相關(guān)者聚集在一起：開(kāi)發(fā)和運(yùn)營(yíng)。為什么停在那里？

盡早將IT安全作為第三大利益相關(guān)者，不僅可以防止生產(chǎn)延遲，還可以改變對(duì)安全團(tuán)隊(duì)是“無(wú)人之隊(duì)”的看法。它可以將與安全的關(guān)系轉(zhuǎn)變?yōu)閺?qiáng)大的盟友。

顯然，在安全性方面，包容性具有積極的影響。這引起了諸如DevSecOps之類(lèi)的引領(lǐng)潮流的術(shù)語(yǔ)，這些術(shù)語(yǔ)著重于解決交付過(guò)程中的安全性。通過(guò)這種方法，安全不僅僅是一種趨勢(shì)，它還是負(fù)責(zé)任的企業(yè)交付的基礎(chǔ)。

安全是軟件交付的基礎(chǔ)

Andrea C. Crawford和IBM Garage 撰寫(xiě)的Modern DevOps宣言列出了一些適用于端到端安全軟件交付的關(guān)鍵概念。第一個(gè)主題是“一切皆有代碼”，這為在企業(yè)內(nèi)部更深入地實(shí)施安全性和安全實(shí)踐（圖像、k8集群配置、應(yīng)用程序配置甚至管道本身）提供了機(jī)會(huì)。

編碼資產(chǎn)將需要建立為“受信任”資源。好的候選者是在整個(gè)企業(yè)中共享的那些構(gòu)造。 一個(gè)示例就是將容器映像，應(yīng)用程序模板，基于角色的訪問(wèn)控制策略和群集配置視為保證其自身治理和管道的“可信”資源，以及管理這些資源的明確定義的角色。較大的企業(yè)可能會(huì)考慮為新角色（例如圖像工程師、集群工程師、管道工程師等）使用徽章和內(nèi)部認(rèn)證。

組織可以使用零信任和最小特權(quán)原則加強(qiáng)職責(zé)分離。定義新角色和角色后，他們應(yīng)該獲得對(duì)受信任資源的足夠訪問(wèn)權(quán)以完成其工作，從而降低風(fēng)險(xiǎn)并限制暴露。取決于行業(yè)和區(qū)域合規(guī)性環(huán)境，這可能意味著一個(gè)角色的訪問(wèn)權(quán)限和職責(zé)不同。由于對(duì)應(yīng)用程序堆棧影響太大的風(fēng)險(xiǎn)，受到嚴(yán)格監(jiān)管的企業(yè)可能不允許應(yīng)用程序開(kāi)發(fā)人員兼任圖像工程師。