DevOps解決安全問題和安全解決DevOps問題
內容來源:2018年3月28日,國內DevOps安全先驅人物王志剛在博學網實踐月:信息安全技術在線直播分享進行《DevOps解決安全問題和安全解決DevOps問題》主題演講。博學網作為主辦方,經和講者審閱授權發布。
背景介紹
現實情況
軟體是基礎的基礎
速度解決生存問題:先發、搶佔風口
持續變化應對變化,解決發展問題
質量保持發展
DevOPs誕生
商業倒逼技術變革
提速
部分解決了質量的問題
安全卻被主流技術選擇性忽略
二.DevOps簡介
1.綜述
DevOps即研發運維
研發和其他人的協同
全生命周期-從開發到生產
系統化反饋
強調自動化
2.DevOps血緣
精益Lean運動:交貨,交少量貨
Agile 宣言:快速頻繁交付生產軟體
Agile Infra運動: 每日10次
DevOpsDays
持續交付運動:交付流水線
豐田 KATA:迭代和改進
3.DevOps和敏捷(CI和CD)
是充分利用了敏捷的核心思想
通過儘早、並持續交付實用軟體滿足用戶需求
快速、頻繁交付代碼
業務部門全周期協作
擴展到全生命周期
協作者擴展:測試、運維
自動化全過程:打通部門牆
研發過程、環境軟體化DevOps化
4.DevOps理論框架
CAMS( John Willis) +The Three Ways(Gene Kim)==The New Three Ways( DevOps 手冊)
? 價值流:從想像-需求到落地(注意用戶的定義)( KPI )
1.流動:可視化,限制並發、碎片化、打破局限、優化、消除交接
2.反饋-信息流轉: shift left, 可視化,放權和付能和自服務
3.持續學習和實驗,學習型組織,檢討、 0處罰、知識復用分享、技術和系統解決問題
三.DevOps安全發展
DevOps踐行者
1. Amazon: 14條軍規, 2 PIZZA原則, SOA, TT, SOP, 誰開發,誰運維, wiki, broadcast,培訓系統, zoncon; 全套的CD系統,dashboard,日誌,大數據系統,各種工具
5000萬變更 2014, 每秒鐘一個;
AWS去年上線1300個新應用
2. Amazon 安全:實現Security as code
AAA(人和服務) as code
加密(密鑰管理,證書管理) ascode
日誌 :as code
Firewall as code
AppSec as code
3. MicroSoft的DevOps之路
4. Capital One (金融機構), Paypal( TDD,BDD默認安全)
5. Twitter 從漏洞之王,到沒聲音(全站,連續學習,自動
化測試、 Twitter 大學)
6. Facebook(默認安全框架、自服務白、黑盒掃?、工程
師DashBoard)
7. Google
8. NetFlex, ETSY
DevOps-社區運動
DevOpsSec, DevSecOps
DevOpsDays
DevOps企業峰會
DevOps年度報告
DevOps Connect on RSA
國內DevOps運動
四.DevOps安全七條法則
1.第一法則溝通與協作
建立順暢的溝通管道
安全安全專家-社區: wiki, policy, security as code;platform; group - 搭台
開發者-應用owner 落地執行所有工作 -唱戲
安全全棧工程師的培養
安全專項Sprint
Hacker Days
Wiki 知識庫
應用安全平台,沙盤、實戰,在實戰中學習
向技術學習
共同維護產品安全
2.第二法則Visibility可視化
反饋和度量是改進的基礎
應用、代碼安全狀態可視化
對工程師、研發人員的能力的感知、評價
對工具、安全產品、服務的有效性,影響性可視化
對攻擊、漏洞和資產的可視化
對工程師可視化
安全可視化平台
1.安全監控、審計日誌、攻擊日誌可視化(ELK, Splunk)
2. 配置管理:資產、三方軟體、漏洞可視化
3. 安全任務平台:漏洞修復、安全技術債務
4. 掃描報告,安全配置審計可視化
5. 網路安全可視化:防火牆rule,流量、訪問情況,認證系統,賬戶、
策略
6. 安全工作和效能可視化:漏洞修復速度(工程師安全主頁,安全培
訓認證系統)
7. 應用系統安全可視化:各種安全方案、工具落地情況,安全方案
成熟度,使用的三方工具、開源工具框架,代碼、漏洞情況(應
用安全管理平台)
8. 安全系統可視化:調用情況,普及率,問題影響,安全策略配置
3.第三法則自動化、自服務
安全自動化平台
1.自動化發現、盤點、註冊
2. 自動化安全需求- ASVS, TOP10
3. 自動化掃描、測試SAST, DAST,
4. 自動化漏洞、三方掃描
5. 自動化系統級安全基線掃描
安全自動化測試工具
1. OWASP ZAP
2. Archni
3. BDD-Security
4. GauntIt
5. Burp
6. NMAP, NESSUS
安全自服務平台
1.應用安全管理平台:應用註冊、分類和全生命周期管理
2. 密鑰管理、證書管理 Encryption ascode
3. IAM as code
4. 防火牆Firewall as code
5. 自服務安全測試、滲透測試ZAP,BDD-Security, Burp
6. 自服務代碼review
7. 自服務資產管理、掃?、漏洞修復系統
4.第四法則迭代、碎片化
1.安全技術債務管理Backlog
2. 安全方案成熟度
– 覆蓋率
– 自動化程度
– 深度
5.第五法則嵌入DevOps流水線
6.第六法則管好軟體供應鏈
a.90%現在的代碼來自開源
b.16個下載就有一個有漏洞
c.31%公司已經或懷疑發生開源的攻擊
d.2014年97%成功的攻擊可以追溯到10個通用的漏洞,其中8個補丁超過10年
7.第七法則向左shift left
要實現安全法則首先要轉變國內目前的安全知識、需求,同時在產品方面要吸收好的理念和技術。
今天的分享,就到這裡了。謝謝大家!
TAG:博學網CN |