淺談DevOps Security

Continuous Security 雲端時代的來臨,讓DevOps這個名詞一時間流行起來。DevOps無非是讓公司的平台服務“快速部署”及“快速的測試”達到公司想要的outcomes是合於期望的。但快速的結果可能是讓整個平台的安全打了折扣。請參考下圖,右手邊多了一塊是把Security加入考量的因素。 DevOps是一個持續不斷的對軟體產品做出快速的功能釋出及優化並且能提高開發人員與維運人員的協同作業,故在DevOps這一部分很多的工作都依靠自動化的作業。這一部分很多DevOps工程師都已經有相當的經驗了,這一篇我們淺談企業在實行DevOps的組織型態時如何能把安全的部分融入成整個DevOps的一部分且也不會讓Security拖累DevOps效能與效率。 Security in DevOps 關於這一點已經有很多專家在講DevOps的組織文化了,我們不在這裡“掉書包”了。相反的在Security裡,資安團隊著中的可能是如下的議題1. 根據內外部的法規法例及標準,我們的產品有沒有符合.例如歐盟的GDPR2. 我們的產品目前有多少的security incidents3. 我們的產品還有多少的資安問題需要上patch的等等傳統上開發團隊與資安團隊常常會因為各自的目標不同可能有互相對抗的狀況發生,這對企業整體運作無疑是不好的事。如何讓DevOps與Security運作順利呢?哪就必須讓Security融合成DevOps的一部分,DevOps教導我們把Development 跟Operation融合再一起。這時我們必須也要把Security融合近DevOps(如上圖)。DevSecOps–將DevOps的焦點,從整個CI/CD的快速部署整合把層次拉高到整個組織對資安的要求。成為之前提到的在整個產品的開發週期及維運中也把security加進去成為”continuous security”。 Continuous Security 這裡我們分三個面向1. 以測試導向的資訊安全 2. 監控與資安事件的回應3.

Read more