DevOps的安全问题不容小觑_光环大数据培训.pdf

光环大数据--大数据培训知名品牌 DevOps 的安全问题不容小觑_光环大数据培训 DevOps 最基本的一个功能，或者说优势，就是它可以将产品的开发团队跟 运营团队合并成一个具有凝聚力的“个体”，而这样就可以很大程度地提升工作 的效率。但是研究表明，虽然DevOps 可以提升企业IT 的工作效率，但与此同时 有一个非常重要的因素也被忽略掉了，那就是“信息安全”。因此我们不禁想问： “安全”跟“效率”到底谁更重要？ 根据CyberArk 发布的2018 年高级威胁前景报告，DevOps 至少会增加一个 IT领域的攻击面，即特权账号。特权账号是DevOps 的一个必不可少的重要组件， 但是CyberArk 的数据表明，这些特权账号并没有得到很好的安全保护。 DevOps 的安全问题不容小觑 CyberArk 是一家以色列安全公司，该公司成立于1999 年，其总部设在美国 的马萨诸塞州。在2017 年9 月到 10 月，他们委托VansonBourne （一家专门从 事市场调查与研究的公司）对超过 1000 名安全决策人员进行了采访调查。调查 结果显示，很多安全专家以及安全决策人员对DevOps 中的特权账号以及IT 基础 设施之间的重要隐私数据其实并不算真正的了解。比如说，99%的受调查人员无 法找出所有的特权账号以及重要机密数据到底在什么地方，而这种所谓的“知识 差距”是非常令人担忧的。其中，还有 76%的受访者并不了解DevOps 所使用的 持续整合以及持续部署工具(CI/CD)。 其中，最大的“知识差距”是关于源代码库方面的，例如 GitHub。因为有 84%的受访者根本就不知道GitHub 有特权账号。除此之外，有80%的受访者不了 解互联网中的各种微型服务，还有78%的受访者并不了解云环境方面的细节。 CyberArk 的DevOps 安全副总裁ElizabethLawler 表示：“如果是在企业环 境中部署DevOps 的话，不仅会创建更多的特权账号凭证以及机密信息，而且跨 商业生态系统（相互关联）的共享信息也会增多。即使一个企业或组织拥有专业 的安全技术人员，他们也很少会对DevOps 中的敏感信息进行管理和保护，因此 这些组织也会成为攻击者的主要目标。对于外部攻击者以及恶意的内部人员，窃 光环大数据 光环大数据--大数据培训知名品牌 取特权账号凭证以及机密数据将能够允许攻击者完全入侵组织或企业的整个 IT 基础设施。因此，如果企业急于通过DevOps 来提升IT 和业务的效率，则会增加 企业IT 将要面临的潜在攻击面。” 但是这并不意味着DevOps 的安全问题被完全忽略了。37%的DevOps 专家表 示，被入侵的DevOps 工具或环境将成为组织中最严重的安全漏洞之一。其中最 主要的一个问题就是DevOps 团队对于安全方面的考虑太过于欠缺了，在部署了 DevOps 的组织中，大约有75%的安全团队并没有设计针对特权账号的安全策略， 相当于在所有部署了DevOps 的环境中，有三分之二的场景无法实现DevOps 与安 全的整合。 因此，有安全意识的DevOps 专家应该要“自己动手丰衣足食”了。据了解， 目前已经有22%的DevOps 安全人员已经针对自己的环境部署了相应的安全解决 方案以保护和管理 DevOps 项目的机密数据。Lawler 认为：“构建自己的安全解 决方案从某种程度上来说是可行的，但这并不是一种扩展性很强的方式。从 Jenkins 到Puppet 再到Chef，不同工具之间的安全标准也不相同，这也就意味 着，当你在使用一款工具的时候，你首先得知道如何保障这款工具的安全。当组 织在部署DevOps 的时候，安全团队必须要对整个基础设施的安全性负责，他们 可以设计一个系统化的方法，在保障生产力提升的同时维护整体的IT 安全性。” 总结 DevOps 往往代表着效率和速度，而安全问题往往会被看作是效率和速度的 “拦路虎”。然而这两个因素之间必须是以一种相辅相成的形式存在的，如果企 业希望使用DevOps 来提升企业的工作效率，而不是削弱企业的整体IT 安全，那 么CyberArk 的调查结果绝对是