企业DevOps架构指南安全篇(拆书版) .docxVIP

DevSecOps联盟

!

!

DevSecOps联盟

企业DevOps架构指南安全篇

基于AIOps和DevSecOps进行安全的数字化转型!

【拆书版：DevSecOps节选】

（非官方不专业中文学习版）JeroenMulder

翻译：庄飞（OXFE1FE1）

2022年2月

#!

!

DevSecOps联盟

译者说明

本文翻译工作为公益性质的学习目的。翻译本身基于水平与目标不同，并不能

与专业翻译水平相提并论，在此基础之上，为维护原作者知识产权保护问题，本翻

译内容任何人不得以任何商业形式产生盈利行为。因本版本在翻译发布前市场未出

现相同书目的中文版本，故本翻译版不产生在今后可能出现的商业翻译版本的冲突，

但建议阅读者能够购买后期可能出现的商业翻译版本，以便能够通过阅读更高水平

的翻译版本弥补本版本的缺失和遗漏。欢迎广大读者能够对书中翻译的缺漏进行补

充和探讨。

本文由微信公众号“DevSecOps联盟”运营者OXFE1FE1独立翻译。DevSecOps

联盟初衷是基于开源精神，向业界分享DevSecOps安全实践。后续稿件问题请联

系DevSecOps联盟(idevsecops@)进行不定期订正，力求保留书籍原

意。

OXFE1FE1

2022-02-10

$!

!

DevSecOps联盟

拆书版说明

《企业DevOps架构师指南》前2个章节主要介绍DevOps及AIOps，目录如下：

l第1节：企业DevOps架构

n1定义企业DevOps参考架构

n2从架构上管理DevOps

n3DevOps质量架构

n4规模化DevOps

n5基于SRE的下一代DevOps架构

l第2节：AIOps驱动左移

n6定义运维架构

n7AI对DevOps的影响

n8AIOps架构

n9DevOps中集成AIOps

n10向NoOps迈出最后一步

本拆书版略过前2节，摘录自原书“第3节：DevSecOps安全赋能”。

%!

!

第3节：DevSecOps安全赋能

在前面的章节中，我们实现了开发和运营的自动化。现在，最后一步是将安全也一起自动化。这就是DevSecOps的起点：在开发和发布到运营的每一步中集成安全。DevSecOps包括测试、部署和最终交付。在这一部分中，你将深入了解DevSecOps，并学习其架构是什么样的，以及安全为何必须与DevOps集成。

本节将包括如下章节：

? 第11章,了解DevOps安全

? 第12章，DevSecOps架构

? 第13章，行业安全框架与DevSecOps

? 第14章，DevSecOps与DevOps集成

? 第15章，实现零信任架构

!#$%’()*+

!

11了解DevOps安全

谈到云计算、现代应用，以及数字化转型，就不能不谈安全。一个流行的术语是设计安全（securitybydesign）。但即使是设计安全也需要嵌入到企业架构中。这也适用于DevOps生命周期：DevOps需要设计安全。在我们讨论这个问题和零信任等原则之前，我们首先需要对安全有一个很好的理解，以及它是如何影响DevOps实践的。本章对DevOps中的安全进行了介绍。

阅读本章后，你将了解到为什么将安全纳入企业架构是很重要的，以及架构师如何收集和评估风险，并能够识别DevOps中具体有哪些风险。你还将了解如何设立安全控制，以及DevSecOps中需要关注的重点是什么。

在这一章中，我们将涵盖以下主题：

?在企业架构中安全内嵌

?了解DevOps中的安全风险

?掌握DevSecOps的技巧

?定义需求和度量指标

!

!

!#$%’()*+

!#$%’()*+

这是一个你几乎每天都能读到的话题：受到某种黑客或攻击的企业。系统中最小的漏洞都会被犯罪分子发现并利用。目前（2021年），最流行的攻击有以下几种：

?勒索软件

?网络钓鱼

?拒绝服务

前两个，勒索软件和网络钓鱼，真正利用了企业防御层的漏洞。最后一种基本

上是对一个系统进行大量的流量轰炸，使系统最终崩溃。所有这三种都是相当容易执行的。事实上，你可以购买软件甚至服务，对目标地址发起攻击。你甚至不需要到暗网中去找这些东西。它就在那里，在公开的地方在，正常的互联网上。

一个企业如何保护自己免受这些攻击？首先，必须认识到任何企业的IT已经变得更加复杂。IT系统不再只在一个私有的数据中心，而是变成了一个生态系统，使用公共云、私有的数据中心或同城的私有技术栈、平台即服务（PaaS）和软件即服务（SaaS）。安全必须是企业使用的每一项服务的内在因素。

企业安全的四个传统原则如下。

?预防

?检测

?纠正

’!

!

!#$%’()*+

?指导