Last updated 15 2 月, 2023 by Aleck Brailsford
DevSecOps是一个远大目标。但事实上,在大多数企业中它更像是DevStopOps。应用开发团队正高速(超过100英里) 为用户提供对业务至关重要的新应用,但安全团队却在寻找安全和合规漏洞时踩了急刹车。敏捷性和安全性最终会相互冲突,真正的症结在于缺乏自动化和统一的安全策略。
在Fortinet最近举办的2021年安全峰会上,Tufin 首席执行官 Ruvi Kitov讲述了当今注重敏捷快速的时代下首席信息安全官面临的挑战。当然,CISO面临诸多挑战,包括日益碎片化的网络、安全技能的短缺、连接设备的增多等,但其中最大的挑战是,安全被视为业务的阻滞器,而不是助推器。负责阻止“坏人”的安全职能部门,怎么会自己成了“坏人”呢?
问题首先出在流程上。例如,应用开发中安全性通常位于流程末尾。开发人员设计并构建一款应用,却只在开发结束后考虑安全性的影响,而不是将安全性视为良好编码规范不可或缺的一部分。但被破坏的不仅仅是开发流程。即使有了最好的安全工具和分段技术,如果需要一周的时间来做出变更才能满足业务需求,那么安全策略流程显然也被破坏了。
成功离不开自动化
我认为,自动化是弥补安全性和敏捷性之间落差的解决方案,但具体实施起来并不简单。许多企业已经在利用诸如Ansible脚本之类的自动化作为安全要素,但缺乏创建统一安全策略的网络可见性。因此,安全团队首先要做的是盘点现有的策略清单,对其进行合规性评估,并创建一个可以跨网络、设备和应用而统一实施的总体安全策略。
拥有一个总体策略可以让安全团队快速检查合规性以及相关漏洞。事实上,DevOps不会因安全性而减缓执行速度。安全团队仍然需要快速决定軟件访问的人员、权限及内容。目标应该是让这些决定自动化,以便开发人员可以在几分钟内而不是几天内快速得到肯定或否定的答案。无论如何都有必要再次强调:在这样一个网络复杂性正以指数方式成倍扩展业务攻击范围的世界里,手动安全流程不足以支持DevOps。提升安全状况敏捷性的最佳方法是实施安全策略自动化。
安全始于合作
最近的Fortinet安全峰会提出的一个关键论点是合作的重要性。我们很高兴参加了他们的活动,当然在这之外我们还创建了更广泛的合作关系。此次峰会为我们提供了一个绝佳机会,让我们可以与各行各业的安全决策者,当然还有来自我们长期合作伙伴Fortinet的卓越才智之士,开展意义深远的交流,以确保我们都能将最好的解决方案投放到市场。
众所周知,当今市场上有很多安全解决方案都在争夺CISO的关注。但只有将这些解决方案集成化组合在一起,安全公司才能帮助客户达到最佳效果。毕竟,如果希望打败真正的“坏人”,那么所有的“好人”必须团结起来。