抛弃一个黑洞为安全
安全公司Venafi表示,企业将应用程序开发和部署结合的Devops方法转向朝着安全的方法,这是对安全的越来越挑战。
“Devops就像安全团队的黑洞,因为他们不知道Devops正在做什么,并且没有办法确保安全政策强制执行,”Venafi的威胁情报和安全战略副总裁Kevin Bocek告诉计算机每周。
“我们通过制定不符合公司政策和标准的安全决策,我们看到Devops团队引入漏洞。[他们也是]安全决策不良,例如禁用某些功能和规避代码扫描和配置检查程序,“他说。
转向Devops正在由业务持续创新,并尽快向市场推出功能和商业模式。
Gartner预测,75%的组织将于2017年与“快速IT”团队一起运行,这通常包括一个Devops方法,使IT团队能够转向持续的测试和开发环境。
但是,将开发和运营团队合并为有助于发展和连续交付通常意味着安全被忽视,网络攻击风险增加。
“安全传统上,传统上是探索团队的障碍,因此,他们倾向于寻找周围的方式,避免与安全团队联系,”Bocek说。
这种趋势不再限于小型敏捷企业,甚至是银行,保险和付款等大,高度监管的部门正在挖掘Devops方法的好处。
这意味着由于以牺牲安全性为速度对市场的速度焦点,增加的范围和业务数量来自网络攻击的风险。
与Devops相关的最大安全监督之一涉及TLS(传输层安全性)键和证书,它决定了互联网上可以且无法信任的证书,使软件能够在中间,欺骗和其他基于信任的私下和防止人员进行沟通。攻击。
Devops诸如Orchestration和ContainisIzation等方法,增加了对可信TLS密钥和证书的近瞬时可用性的需求。因此,许多开发人员在获取或使用TLS键和证书时取消键盘。
根据Bocek的说法,这是因为标准过程可以在大多数英国组织中需要三到五个工作日。
这些快捷方式包括使用弱密加理方法;未知,自签名或重复的键;通配符证书代表整个域名;和未经批准的证书当局(CAS)几乎没有从安全团队没有验证和监督。
所有这些都使得攻击者更容易看出可信或隐藏内部加密流量,并且不受信任和未受保护证书的庞大卷会使已过期或Misconpd证书越来越可能的中断。
“Venafi Research表明,79%的CIO认为Devops使得知道是最难以知道的或不是因为使用TLS键和证书而酝酿而不是混乱,”Bocek说。
“安全团队需要用易于使用的自动化保持Devops安全,以消除复杂性,”他说。
符合必要的团队,以支持Devops的快速简便的方式遵守公司安全政策,Venafi向其信任保护平台推出了一个效用。
“这代表了安全团队的心态变化,因为”快速而容易“不是自然而然的,”Bocek说。
Venafi实用程序旨在通过为Devops启用安全的TLS密钥和证书生命周期管理来解决TLS键和证书的问题。
根据Bocek的说法,Venafi决定解决关于Devops Security的这种特殊挑战,因为开发人员在这方面没有太多的专业知识和指导,特别是在虚拟环境的背景和容器的使用情况下。
要利用该实用程序,一旦下载并添加到Venafi的信任保护平台,所有Devops团队都需要为其软件添加单一的代码。
这意味着Devops团队可以专注于加快持续的开发和部署,而安全团队具有完整的可见性,可以保持Devops环境安全并符合要求。
根据Venafi的说法,该实用程序旨在在前提和云端的盒子上工作,具有领先的自动化,管弦乐流和集装箱化平台,包括木偶,厨师,码头,Terraform,Saltstack和Angible。
通过自动化进程,DevOPS团队不需要担心如何获取,安装和使用键和证书的详细信息。
与此同时,Venafi表示,IT安全策略是强制执行的,并且有完整的可见性,并且因为仅发出可信键和证书,因此快速检测到任何异常。
“如果我们要解锁Devops的承诺,请找到提供安全性的方法是至关重要的。Venafi正在帮助IT安全团队使Devops快速且容易使用TLS键和证书,“Bocek说。
Bocek表示,安全团队和Devops团队需要找到更紧密地工作的方法,以最大限度地减少安全漏洞,特别是当世界移动更多加密时。
“如果Devops正在切换加密以满足政府要求,例如在英国推出的那些,安全团队需要确保他们能够监控那些用于恶意活动的渠道。”