在安全性方面 DevOps被遗忘的团队

科技2020-03-23 14:39:57
导读由于DevOps的动态特性以及他们可以访问的业务秘密,安全厂商Cyber​​Ark强调了确保这些团队免受威胁环境影响的重要性。根据Cyber​​Ark

由于DevOps的动态特性以及他们可以访问的业务“秘密”,安全厂商Cyber​​Ark强调了确保这些团队免受威胁环境影响的重要性。

根据Cyber​​Ark亚太和日本解决方案工程高级总监Jeffrey Kok的说法,将DevOps暴露给元素意味着特权帐户凭据(如SSH密钥,API密钥和其他凭据)在整个IT基础架构中快速增长 - 火灾步伐,给组织带来巨大的安全风险。

该Cyber​​Ark先进威胁景观2018米的亮点是安全75%的被调查者报告了他们的组织没有实施了DevOps的特权帐户的安全解决方案。

当60%的DevOps受访者表示他们将特权帐户或管理密码存储在公司PC或笔记本电脑上的文档中时,这可能会出现问题。

52%的DevOps受访者表示他们依赖其云或DevOps供应商的本机机密功能进行保护。

“这可能是一种冒险的方法,因为它会产生单独的安全孤岛,难以通过整体安全策略进行管理,” 报告称。

由于受访者能够提供多个答案,50%的受访者表示他们采用付费秘密解决方案; 37%的受访者表示他们使用的是采用开源软件构建的系统。

“大多数时候,当应用程序上线时,安全人员会被带进来,”Kok告诉ZDNet。

43%的受访者确认安全团队总是在每个开发周期结束时被引入,Cyber​​Ark指出,只有当sprint的平均长度大约一周左右时,这可能就足够了。

虽然Kok表示组织将安全人才更早地引入开发过程似乎“有点令人生畏”,但一旦这个概念被接受,他说,最终结果是更好的用户体验。

“这是关键差距之一,”他解释道。

最有效的业务策略将要求安全性和DevOps密切合作,这就是为什么Kok提出“SecOps”的想法 - 应用程序的设计与操作,但也考虑到安全性。

“安全设计,”科克重申道。“最有效的策略将要求安全性和DevOps从一开始就在整个开发,测试和部署中紧密合作。”

该报告称,由于DevOps是一门相对较新的学科,因此受访者表示DevOps与安全团队之间缺乏集成并不奇怪。

Cyber​​Ark表示,虽然合作因行业而异,但发现DevOps与安全性之间的密切合作最常见于消费者服务,技术和电信领域。金融服务组织的合作报告略低于平均水平,只有16%的医疗保健受访者表示他们的安全性和DevOps团队“整合得很好”。

“今天,当所有东西都在云上,并且你有很多自动化工具时,DevOps可以使用5到20个工具,所有这些工具都包含秘密......只有一个会打破整个链条,”他解释道。“我们的想法是没有'安全岛'。

“如果DevOps可以将两个团队聚集在一起,那么为什么不能让SecOps再加上一个团队。”

尽管Kok主要关注APJ地区,但他表示报告中提出的问题涵盖了全球的DevOps团队。

然而,由于APJ地区稍晚于DevOps游戏,因此该地区更需要从其他人的错误中吸取教训。

他说:“事后我们可以避免陷阱。”

Kok表示,该报告是在很多似曾相识的情况下委托的,Cyber​​Ark正在与客户一起关注其组织秘密的安全性。

该调查由市场研究公司Vanson Bourne于2017年9月和10月代表Cyber​​Ark进行,共有来自7个国家的1,000多名IT安全决策者,DevOps,应用程序开发人员和业务线所有者对他们公司的实践进行了调查。

免责声明:本文由用户上传,如有侵权请联系删除!