在安全性方面 DevOps被遗忘的团队
由于DevOps的动态特性以及他们可以访问的业务“秘密”,安全厂商CyberArk强调了确保这些团队免受威胁环境影响的重要性。
根据CyberArk亚太和日本解决方案工程高级总监Jeffrey Kok的说法,将DevOps暴露给元素意味着特权帐户凭据(如SSH密钥,API密钥和其他凭据)在整个IT基础架构中快速增长 - 火灾步伐,给组织带来巨大的安全风险。
该CyberArk先进威胁景观2018米的亮点是安全75%的被调查者报告了他们的组织没有实施了DevOps的特权帐户的安全解决方案。
当60%的DevOps受访者表示他们将特权帐户或管理密码存储在公司PC或笔记本电脑上的文档中时,这可能会出现问题。
52%的DevOps受访者表示他们依赖其云或DevOps供应商的本机机密功能进行保护。
“这可能是一种冒险的方法,因为它会产生单独的安全孤岛,难以通过整体安全策略进行管理,” 报告称。
由于受访者能够提供多个答案,50%的受访者表示他们采用付费秘密解决方案; 37%的受访者表示他们使用的是采用开源软件构建的系统。
“大多数时候,当应用程序上线时,安全人员会被带进来,”Kok告诉ZDNet。
43%的受访者确认安全团队总是在每个开发周期结束时被引入,CyberArk指出,只有当sprint的平均长度大约一周左右时,这可能就足够了。
虽然Kok表示组织将安全人才更早地引入开发过程似乎“有点令人生畏”,但一旦这个概念被接受,他说,最终结果是更好的用户体验。
“这是关键差距之一,”他解释道。
最有效的业务策略将要求安全性和DevOps密切合作,这就是为什么Kok提出“SecOps”的想法 - 应用程序的设计与操作,但也考虑到安全性。
“安全设计,”科克重申道。“最有效的策略将要求安全性和DevOps从一开始就在整个开发,测试和部署中紧密合作。”
该报告称,由于DevOps是一门相对较新的学科,因此受访者表示DevOps与安全团队之间缺乏集成并不奇怪。
CyberArk表示,虽然合作因行业而异,但发现DevOps与安全性之间的密切合作最常见于消费者服务,技术和电信领域。金融服务组织的合作报告略低于平均水平,只有16%的医疗保健受访者表示他们的安全性和DevOps团队“整合得很好”。
“今天,当所有东西都在云上,并且你有很多自动化工具时,DevOps可以使用5到20个工具,所有这些工具都包含秘密......只有一个会打破整个链条,”他解释道。“我们的想法是没有'安全岛'。
“如果DevOps可以将两个团队聚集在一起,那么为什么不能让SecOps再加上一个团队。”
尽管Kok主要关注APJ地区,但他表示报告中提出的问题涵盖了全球的DevOps团队。
然而,由于APJ地区稍晚于DevOps游戏,因此该地区更需要从其他人的错误中吸取教训。
他说:“事后我们可以避免陷阱。”
Kok表示,该报告是在很多似曾相识的情况下委托的,CyberArk正在与客户一起关注其组织秘密的安全性。
该调查由市场研究公司Vanson Bourne于2017年9月和10月代表CyberArk进行,共有来自7个国家的1,000多名IT安全决策者,DevOps,应用程序开发人员和业务线所有者对他们公司的实践进行了调查。