DevOps解決安全問題和安全解決DevOps問題

內容來源：2018年3月28日，國內DevOps安全先驅人物王志剛在博學網實踐月：信息安全技術在線直播分享進行《DevOps解決安全問題和安全解決DevOps問題》主題演講。博學網作為主辦方，經和講者審閱授權發布。

背景介紹

現實情況

軟體是基礎的基礎

速度解決生存問題：先發、搶佔風口

持續變化應對變化，解決發展問題

質量保持發展

DevOPs誕生

商業倒逼技術變革

提速

部分解決了質量的問題

安全卻被主流技術選擇性忽略

二．DevOps簡介

1.綜述

DevOps即研發運維

研發和其他人的協同

全生命周期-從開發到生產

系統化反饋

強調自動化

2.DevOps血緣

精益Lean運動：交貨，交少量貨

Agile 宣言：快速頻繁交付生產軟體

Agile Infra運動： 每日10次

DevOpsDays

持續交付運動：交付流水線

豐田 KATA：迭代和改進

3.DevOps和敏捷（CI和CD）

是充分利用了敏捷的核心思想

通過儘早、並持續交付實用軟體滿足用戶需求

快速、頻繁交付代碼

業務部門全周期協作

擴展到全生命周期

協作者擴展：測試、運維

自動化全過程：打通部門牆

研發過程、環境軟體化DevOps化

4.DevOps理論框架

CAMS（ John Willis） +The Three Ways(Gene Kim)==The New Three Ways（ DevOps 手冊）

? 價值流：從想像-需求到落地(注意用戶的定義)（ KPI )

1.流動：可視化，限制並發、碎片化、打破局限、優化、消除交接

2.反饋-信息流轉： shift left, 可視化，放權和付能和自服務

3.持續學習和實驗，學習型組織，檢討、 0處罰、知識復用分享、技術和系統解決問題

三.DevOps安全發展

DevOps踐行者

1. Amazon： 14條軍規， 2 PIZZA原則， SOA， TT, SOP, 誰開發，誰運維， wiki， broadcast，培訓系統， zoncon; 全套的CD系統，dashboard，日誌，大數據系統，各種工具

5000萬變更 2014， 每秒鐘一個；

AWS去年上線1300個新應用

2. Amazon 安全：實現Security as code

AAA（人和服務） as code

加密（密鑰管理，證書管理） ascode

日誌 :as code

Firewall as code

AppSec as code

3. MicroSoft的DevOps之路

4. Capital One （金融機構）， Paypal（ TDD,BDD默認安全）

5. Twitter 從漏洞之王，到沒聲音（全站，連續學習，自動

化測試、 Twitter 大學）

6. Facebook（默認安全框架、自服務白、黑盒掃?、工程

師DashBoard）

7. Google

8. NetFlex， ETSY

DevOps-社區運動

DevOpsSec， DevSecOps

DevOpsDays

DevOps企業峰會

DevOps年度報告

DevOps Connect on RSA

國內DevOps運動

四.DevOps安全七條法則

1.第一法則溝通與協作

建立順暢的溝通管道

安全安全專家-社區： wiki, policy, security as code;platform; group － 搭台

開發者-應用owner 落地執行所有工作 －唱戲

安全全棧工程師的培養

安全專項Sprint

Hacker Days

Wiki 知識庫

應用安全平台，沙盤、實戰，在實戰中學習

向技術學習

共同維護產品安全

2.第二法則Visibility可視化

反饋和度量是改進的基礎

應用、代碼安全狀態可視化

對工程師、研發人員的能力的感知、評價

對工具、安全產品、服務的有效性，影響性可視化

對攻擊、漏洞和資產的可視化

對工程師可視化

安全可視化平台

1.安全監控、審計日誌、攻擊日誌可視化（ELK, Splunk）

2. 配置管理：資產、三方軟體、漏洞可視化

3. 安全任務平台：漏洞修復、安全技術債務

4. 掃描報告，安全配置審計可視化

5. 網路安全可視化：防火牆rule，流量、訪問情況，認證系統，賬戶、

策略

6. 安全工作和效能可視化：漏洞修復速度(工程師安全主頁，安全培

訓認證系統)

7. 應用系統安全可視化：各種安全方案、工具落地情況，安全方案

成熟度，使用的三方工具、開源工具框架，代碼、漏洞情況（應

用安全管理平台）

8. 安全系統可視化：調用情況，普及率，問題影響，安全策略配置

3.第三法則自動化、自服務

安全自動化平台

1.自動化發現、盤點、註冊

2. 自動化安全需求- ASVS， TOP10

3. 自動化掃描、測試SAST, DAST,

4. 自動化漏洞、三方掃描

5. 自動化系統級安全基線掃描

安全自動化測試工具

1. OWASP ZAP

2. Archni

3. BDD-Security

4. GauntIt

5. Burp

6. NMAP, NESSUS

安全自服務平台

1.應用安全管理平台：應用註冊、分類和全生命周期管理

2. 密鑰管理、證書管理 Encryption ascode

3. IAM as code

4. 防火牆Firewall as code

5. 自服務安全測試、滲透測試ZAP,BDD-Security, Burp

6. 自服務代碼review

7. 自服務資產管理、掃?、漏洞修復系統

4.第四法則迭代、碎片化

1.安全技術債務管理Backlog

2. 安全方案成熟度

– 覆蓋率

– 自動化程度

– 深度

5.第五法則嵌入DevOps流水線

6.第六法則管好軟體供應鏈

a.90%現在的代碼來自開源

b.16個下載就有一個有漏洞

c.31%公司已經或懷疑發生開源的攻擊

d.2014年97%成功的攻擊可以追溯到10個通用的漏洞，其中8個補丁超過10年

7.第七法則向左shift left

要實現安全法則首先要轉變國內目前的安全知識、需求，同時在產品方面要吸收好的理念和技術。

今天的分享，就到這裡了。謝謝大家！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！