写在前面的话
DevOps最基本的一个功能,或者说优势,就是它可以将产品的开发团队跟运营团队合并成一个具有凝聚力的“个体”,而这样就可以很大程度地提升工作的效率。但是研究表明,虽然DevOps可以提升企业IT的工作效率,但与此同时有一个非常重要的因素也被忽略掉了,那就是“信息安全”。因此我们不禁想问:“安全”跟“效率”到底谁更重要?
根据CyberArk发布的2018年高级威胁前景报告,DevOps至少会增加一个IT领域的攻击面,即特权账号。特权账号是DevOps的一个必不可少的重要组件,但是CyberArk的数据表明,这些特权账号并没有得到很好的安全保护。
DevOps的安全问题不容小觑
CyberArk是一家以色列安全公司,该公司成立于1999年,其总部设在美国的马萨诸塞州。在2017年9月到10月,他们委托Vanson Bourne(一家专门从事市场调查与研究的公司)对超过1000名安全决策人员进行了采访调查。调查结果显示,很多安全专家以及安全决策人员对DevOps中的特权账号以及IT基础设施之间的重要隐私数据其实并不算真正的了解。比如说,99%的受调查人员无法找出所有的特权账号以及重要机密数据到底在什么地方,而这种所谓的“知识差距”是非常令人担忧的。其中,还有76%的受访者并不了解DevOps所使用的持续整合以及持续部署工具(CI/CD)。
其中,最大的“知识差距”是关于源代码库方面的,例如GitHub。因为有84%的受访者根本就不知道GitHub有特权账号。除此之外,有80%的受访者不了解互联网中的各种微型服务,还有78%的受访者并不了解云环境方面的细节。
CyberArk的DevOps安全副总裁ElizabethLawler表示:“如果是在企业环境中部署DevOps的话,不仅会创建更多的特权账号凭证以及机密信息,而且跨商业生态系统(相互关联)的共享信息也会增多。即使一个企业或组织拥有专业的安全技术人员,他们也很少会对DevOps中的敏感信息进行管理和保护,因此这些组织也会成为攻击者的主要目标。对于外部攻击者以及恶意的内部人员,窃取特权账号凭证以及机密数据将能够允许攻击者完全入侵组织或企业的整个IT基础设施。因此,如果企业急于通过DevOps来提升IT和业务的效率,则会增加企业IT将要面临的潜在攻击面。”
但是这并不意味着DevOps的安全问题被完全忽略了。37%的DevOps专家表示,被入侵的DevOps工具或环境将成为组织中最严重的安全漏洞之一。其中最主要的一个问题就是DevOps团队对于安全方面的考虑太过于欠缺了,在部署了DevOps的组织中,大约有75%的安全团队并没有设计针对特权账号的安全策略,相当于在所有部署了DevOps的环境中,有三分之二的场景无法实现DevOps与安全的整合。
因此,有安全意识的DevOps专家应该要“自己动手丰衣足食”了。据了解,目前已经有22%的DevOps安全人员已经针对自己的环境部署了相应的安全解决方案以保护和管理DevOps项目的机密数据。Lawler认为:“构建自己的安全解决方案从某种程度上来说是可行的,但这并不是一种扩展性很强的方式。从Jenkins到Puppet再到Chef,不同工具之间的安全标准也不相同,这也就意味着,当你在使用一款工具的时候,你首先得知道如何保障这款工具的安全。当组织在部署DevOps的时候,安全团队必须要对整个基础设施的安全性负责,他们可以设计一个系统化的方法,在保障生产力提升的同时维护整体的IT安全性。”
总结
DevOps往往代表着效率和速度,而安全问题往往会被看作是效率和速度的“拦路虎”。然而这两个因素之间必须是以一种相辅相成的形式存在的,如果企业希望使用DevOps来提升企业的工作效率,而不是削弱企业的整体IT安全,那么CyberArk的调查结果绝对是相关人员需要认真考虑的内容了。
- 蜜度索骥:以跨模态检索技术助力“企宣”向上生长
- 预估168亿规模:中国电信服务器集采落地,国产生态“百花齐放”
- 研究:GPU是数据处理领域的“瑞士军刀”,不止于AI特定应用
- 什么是分布式计算?一文读懂!
- 企业IT领导者最大化云存储投资回报率的六大策略
- 中国网络空间安全协会发文:应系统排查英特尔产品网络安全风险
- 1—8月我国软件业务收入85492亿元,同比增长11.2%
- 合合信息启信宝数据产业洞察:长三角地区数据企业超48000家,数量领跑全国
- 2025年全球网络安全支出将激增15% | 行业观察
- 华为数据存储两大新品齐发:全面闪存化,全面向AI
- 数据中心太耗电,微软携手Constellation Energy探索核能供电新途径
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。