开发者社区> 问答> 正文

新时代DevOps需求下,我们该如何保障服务的安全?

【编者按】时下,传统安全策略显然已无法支撑 DevOps 环境的敏捷需求。那么,对于一个决策者来说,你又该如何实现 DevOps 速度与安全的兼得?本篇译自 Dzone 的一篇运维文章,题为「Security Breaks DevOps – Here’s How to Fix It」,由 OneAPM工程师编译整理。
现在,通信、协作、抽象、自动化、流程等理念已成为快速 DevOps 操作的基础。同时,在虚拟基础设施和 IaaS(基础设施即服务)的冲击下,手动的配置和管理已然不再可行——它需要耗费大量的时间与资源。在这个需求下,新时代的 DevOps 方法和工具应运而生,它们可以让 DevOps 更加敏捷和高效,从而可以更快速地响应业务。
在这个大趋势下,安全团队与 DevOps 团队遭遇的问题一样,手动配置和安全操作在 IaaS 同样不再可行,因为人为干预已经完全应对不了形势的瞬息万变。现在市场上公认最好的解决方案,就是使用应用性能管理工具,像国内外的 NewRelic、 AppDynamics、OneAPM 等顶级 APM 厂商,就可以帮助运维人员实现高度自动化的运维管理。
在投入生产环境之前,基于静态参数的安全策略和手动配置安全策略将占用大量时间,从而影响到服务的发布质量,增加错误出现的风险,同时也会拉慢 DevOps 周期。然而,如果贸然选择一个 DevOps 流程工具来提供安全策略,鉴于这些工具缺乏核心控制,并且不能与其他安全基础设施整合,这将给企业业务带来大量的风险。
为了解决这个挑战,IT 和安全团队应该采用匹配 DevOps 敏捷需求的平台和流程工具。因此,在选择过程中,决策者应该牢记以下几点:
内置自动化。安全自动化意味着所有操作都可以在避免人为干预的情景下部署和管理,包括防火墙策略、漏洞扫描配置、入侵检测、多因素认证等。其中,最受人欢迎的无疑就是整个生命周期上的自动化,在这里,特定环境下的决策只需要设定一次,随后即会在所有生命周期(从部署到解除配置)中完全自动执行。期间,审计和操作数据的自动收集同样至关重要,特别是在运行周期较短的基础设施组件上。即使短暂存在,这些瞬息资源同样需要在审计范围之内,即使它在审计时根本没有运行。良好实现的自动化允许安全组织使用动态基础设施模型以匹配不同规模和速度的变化。同时,工具需要自动制定出准确和有效的安全策略,从而彻底排除了人为错误。


安全调度。具备安全调度的平台需要集中管理构成、部署,并将独立控制组件管理集中到一个复杂、面向服务的安全系统。通过整合多个独立控制件到一个大型系统,安全调度可视为一个更高等级的函数。在许多实现中,调度同样针对许可、度量、回退等其他安全资源消耗问题,这些在面向服务的云计算和软件定义基础设施环境中非常重要。
服务运行时的即时可见和连续执行特性。在公共云中并不存在自然边界和网络分割,这让用户服务器很容易暴露。而在私有云中,网络中恶意的 East-West 流量无法通过边界检测工具发现,从而也形成了很大的威胁。因此,你需要选择一个平台来扩展工作负载的网络安全。同时,解决方案应该是按需和易部署的。许多这样的平台都使用了一个基于代理的途径,因此需要确定代理是非常轻量级的,从而不会拖累虚拟服务器,此外它还不能影响到工作负载,并容易与 DevOps 持续部署模型整合。代理还要可以通过脚本或者手动的方式使用流程工具部署。最后,在敏捷性有需求更高的情况下,代理还需要被热部署。
灵活的策略定义:在新型安全平台中,取代静态网络参数配置,安全策略需要可以通过逻辑应用程序来定义,从而可以自动地对新部署应用进行保护,亦克服了传统网络安全工具的天然局限性。



聚焦每个阶段中的安全:DevOps 拥有多个不同的阶段,其中有许多都是在不同云服务以及不同虚拟架构上进行的,从而也为攻击者留下了可乘之机。在这种情景下,你需要打磨每个阶段的安全策略,从而消除安全隐患。同样重要的是,开发团队需要知晓安全对应用程序的重要性,因此在早期就考虑安全决策非常重要。
使用分层途径:平台需要在 DevOps 模型中提供分层安全策略,而不只是一个防火墙。从流程角度来说,从多个供应商集成不同功能存在着非常大的挑战。因此,请确定类似文件完整性监控、安全配置监控、强访问控制及漏洞管理都被集成到一个平台上,并覆盖了生命周期中的所有系统。
与流程工具无缝集成:确保所选择的安全平台可以与已使用的流程工具无缝集成,因为在各种不同工具间切换显然会降低效率、带来错误风险并降低系统的整体安全。
因此,请慎重选择流程工具和安全解决方案,从而打造一个高效、协作的 DevOps 环境。OneAPM 是全球首家可以同时从系统服务层、应用层、用户体验层、业务交易层提供性能管理产品的公司,以真实用户体验管理和代码级应用性能为核心,能够协助运维人员提早发现、尽快解决应用系统的性能和可用性问题。
OneAPM 能够帮助 IT 运维人员实现故障预警和定位,帮助他们减少业务系统维护工作量;同时,还能全方位实时把握应用性能,保证业务连续性;最终通过提供可追溯的性能数据,量化 IT 运维部门业务价值。
原文地址:Security Breaks DevOps – Here’s How to Fix It
OneAPM 是应用性能管理领域的新兴领军企业,能帮助企业用户和开发者轻松实现:缓慢的程序代码和 SQL 语句的实时抓取。想阅读更多技术文章,请访问 OneAPM 官方博客。

展开
收起
忆远0711 2015-10-30 17:03:34 10421 0
1 条回答
写回答
取消 提交回答
  • Re新时代DevOps需求下,我们该如何保障服务的安全?
    貌似很简单的样子
    2015-10-30 19:08:06
    赞同 展开评论 打赏
问答排行榜
最热
最新

相关电子书

更多
从黑盒运维到DEVOPS 立即下载
云上DevOps开发布局 立即下载
DevOps与传统的融合落地实践及案例分享 立即下载