DevOps 改變資安遊戲規則的三個原因
關於 DevOps 革新如何給網路安全帶來更多挑戰的問題,我們看到很多文章對此進行了探討。其中一個重要的原因是:資安團隊在今日的 DevOps sprint 和 scrum 流程中嚴重缺席。在這個以打破孤立狀況並促進共同合作為傲的技術中,因未納入安全性而造成亟待解決的嚴重 Cyber Exposure 缺口。因此,網路安全甫一發佈就忙不迭地識別和保護資產與應用程式,就像一場永無休止的打地鼠遊戲。不過,難道就沒有更好的方法嗎?
取得 Container Security 最佳做法: 操作方法指南
好在有更好的方法。 確切來說,答案跟 DevOps 很有關係,網路安全團隊應在本身的程序與工作流程中納入 DevOps 原則。 以下是何以結合這兩種做法能改變資安遊戲規則的三個原因。
1) 內建安全性
安全測試需要和開發人員共存,也就是俗稱的 DevOps 管線。讓安全流程適應開發人員至關重要,除此之外別無他法。如此可確保在開發期間事先考量安全性,開發人員也不必為了進行品保測試而拋開持續整合持續部署 (CI/CD) 系統。將安全性建置到 DevOps 對於網路安全有效性的幫助甚巨。
2) 自動化
網路安全必須盡可能採用自動化測試與稽核程序。每個組織每天都會發佈數十個、甚至上百個軟體更新。依靠手動程序無法讓安全性保持在最新狀態。反之,應該在每次組建變更或發現新弱點時,自動觸發安全測試。持續軟體交付需要持續安全控制。
3) 主動預防
若能選擇,網路安全主管應要花時間採用價值更高的安全計劃,以支援合規性並改善風險管理,而不是慌張地打地鼠。在開發期間主動識別與修復弱點,比起坐等到生產期間,可省下大量時間與金錢 (據估計,超過 85%!)。就安全性來說,俗話說的好:一分的預防勝於十分的治療。
如果降低資安成本、消除盲點和推動 DevOps 是您 2018 年的其中一個目標,請參閱這份 IDG 白皮書:DevOps 改變資安遊戲規則的三個原因。您將獲得可以採取的步驟,以便促進形成更具協作性和主動性的方法,來保護您的組織並減少 Cyber Exposure 缺口。現在正是將安全性從業務阻礙重塑為數位業務推手的時候。
相關文章
- DevOps