DevSecOps——在多云环境中确保供应链安全的关键

本文从多个角度说明了 DevSecOps 对于供应链安全的重要性。

作者 Johnathan Hunt 译者 马景贺(小马哥) 发表于 2021年7月30日

本文译自 DevSecOps: the Key to Securing Your Supply Chain in a Multi-Cloud Threatscape

主要收获

  • 可以将最近的供应链攻击作为 DevSecOps 的一个试金石,我们可以看到在 DevOps 中确实需要一个改进的安全框架。

  • 随着网络安全的关注度的提升以及 IT 安全支持的激增,企业应该首先评估他们的 DevOps 做法。

  • DevSecOps 是这样的:利用 CI/CD 平台和容器化,在 SDLC(软件开发生命周期)内增加测试和扫描,并且使用 AI/ML 来最大限度的减少手动安全措施。

  • 安全左移或许需要整个组织在多个业务部门之间进行组织架构改变,但整体安全态势将很快得到大幅改善。

  • 采用 DevSecOps 框架的企业不仅可以加强对漏洞的预防,还可以增加商业价值,因为他们可以提供更安全的产品和服务,更好地保护其业务和客户。

DevSecOps 恰逢其时

随着近期的供应链和云攻击,企业现在正在寻求开发人员来增强企业安全

由于迅速转变为远程和混合工作模式,我们看到了所有部门在云计算应用和数字转型方面的爆炸式增长。这种转变本质上并不坏,但是企业需要记住的是——使用的服务越多,可以暴漏的漏洞和风险也就越多。随着漏洞暴露数量的增多,企业正在寻求新的方法来增强安全。2021 年的 Gartner 预测中,全世界花费在信息安全和风险管理技术和服务上的费用将增长 12.4%,达到了 $1504 亿。

你或许在想——但今天的企业已经有了一些安全流程以及供应商风险管理计划。你想的没有错,企业拥有几个项目和合作伙伴,旨在帮助企业和客户对公司的安全态势感到满意。直到现在,这也是企业安全的主要内容——走过场和打擦边球。这将永远不会真正确保一个公司的安全。事实上,供应商风险管理的缺失或不足可能是当今公司在供应链安全方面面临的最严重威胁。

随着 2021 年网络安全的盘点,出现了一种转变,也许是由于云计算的利害关系比以往任何时候都高。企业正感受到优先考虑和花费在更现代安全上的压力。Gartner 在CIO in 2021中发现,网络安全是新支出的首要任务。

GitLab 最新的年度DevSecOps 报告中指出,绝大多数的 IT 和安全从业人员会将他们的投资聚焦在云计算上,其次是 AI。在企业奔向供应商以确保自己和客户的安全之前,他们应该评估从 DevOps 开始,在内部可以采取哪些实际的、积极的措施。

曾几何时,开发人员和企业领导者很少考虑安全的问题——他们认为这是 CIO 和安全团队的事情。尽管我们已经被推到了一个多云环境中,但是云安全和合规问题依旧是事后才考虑的,参考 PwC 的云业务安全。好消息是,在调查中发现,这些 C 开头的大佬们,不仅仅是 CIO,正在对云安全和整个组织的安全负责。

随着现代人对于进入市场的期待,今天的安全领导正在为快速开发踩刹车,并将开发人员纳入安全范畴。当开发人员通过 CI/CD Pipeline 匆忙写代码时,企业发现安全测试和检查往往是可以被绕过的,是不充分的,是可以妥协的。他们仍然在努力解决这个难题,寻找正确的答案。

进入 DevSecOps——这个框架不仅仅是一个流行词或者是一时的趋势。我认为 DevSecOps 正在成为 DevOps 的同义词。因为今天的开发者对安全的期望越来越高。在Gitlab,我们将这些组件定义为 DevSecOps 端到端安全框架的关键:

  • 应用程序安全测试和修复:采用大量的扫描,如 SAST、DAST 和安全检测
  • 云原生应用保护:使用 Kubernetes 和容器扫描来识别漏洞和保护应用程序
  • 政策合规性和可审计性:通过持续的文件和透明度,满足许可证合规标准
  • SDLC 平台安全:在业界领先的 CI/CD 平台上创建代码,优先考虑并满足IT安全标准

企业的主要目的就是创建有价值和成功的产品或者服务,以期在市场占据主导地位,但是我们看到,在未来的企业中,安全将把好的和伟大的分开。为了避免重大泄漏,就像近期的 Kaseya,Colonial Pipeline,SolarWinds 和 JBS 供应链攻击,所有领导人都必须深入研究他们的安全程序,并成为安全倡议的积极参与者。领导人在安全的重要性上没有保持一致和统一,如果要改善整个工程和产品组织的安全,他们必须从这里开始。

DevSecOps 现状

研究表明,安全人员正在采用安全第一的思维模式,但仍然需要更多安全和 IT 的协作,积极有效的框架以及增加对 AI/ML 工具的使用。

GitLab 公司的年度 DevSecOps 报告发现,在使用 DevOps 的组织中,安全性显著提高。 事实上,72% 的安全专家将他们自己组织的安全努力评为“良好”或“强大”。再者,DevOps 中运行安全扫描的也比以往多:超过一半的运行了 SAST,44% 的运行了 DAST 扫描,接近 50% 的扫描了容器和依赖。所有这些都表明,行业对 DevSecOps 方法的接受程度在不断提高。实际中,70% 的安全团队表明安全已经左移了。

然而,在将安全继承到 DevOps 时依旧有一些绊脚石。超过四分之三的安全团队受访者仍然认为开发人员发现的错误太少,而且在 SDLC 中发现的时间太晚。在 DevOps 团队中,42% 的受访者感觉到安全测试在流程中发生的太晚了,近 37% 的受访者表示追踪缺陷修复的状态非常具有挑战性。所有这些都表明在开发过程中对安全采取了一种被动的方法。开发人员和安全团队往往停留在他们各自的专业领域,然后在出现漏洞时做出反应。

为了减少手动测试和扫描,DevOps 从业者开始利用 AI/ML 工具和技术。GitLab 的 DevSecOps 调查报告发现,四分之一的受访者声称实现了全自动化测试,比 2020 年增长了 13%。调查进一步发现,使用 AI/ML 或者机器人来测试和评审代码的数量在急剧飙升。75% 的团队已经在用或者正在计划使用此技术,比 2020 年上升了 41%。CI/CD 平台正在加强其ML能力,以实现更顺畅、更安全的 DevOps 流程,这些工具的使用在未来几年只会越来越普遍。

自动 DevSecOps 成为主流以来,已经取得了一些进展,在企业开始以积极主动的心态对待安全问题之前,他们不会成功采用DevSecOps。由于安全和 IT 部门在一个单一的愿景上保持一致,成功地执行一个既定策略,并使他们的工作流程现代化和安全化,他们的被动将减少,主动将增加,同时更具协同性。

克服困难,采用 DevSecOps 框架

随着公司持续向云迁移,越来越明显的是,他们应该将 DevSecOps 继承到云基础设施中。可能会产生一些痛点,但是持续时间不会太长而且回报率极高。

有效采用 DevSecOps 的一个最大的障碍就是人们认为它会与进入市场的速度相悖。现如今,企业的成功取决于快速部署和快速、迭代开发。最初,实施 DevSecOps 框架可能会感觉到在你的 CI/CD 管道中设置了减速带。新的安全流程有可能会给优先考虑安全问题的安全团队和专注于推进发布的 IT 团队带来挑战,但伴随着这种 “摩擦 “也会带来 DevSecOps 实施的最初结果——端到端的安全处于起步阶段。实施后不需要很长时间就能看到积极的结果。

最重要的就是在 DevSecOps 中,要让球转起来。组织必须从某个地方开始,他们不需要几个安全平台和工具。企业可以马上开始,当你开发出适合你的组织的 DevSecOps 框架时,你的安全实践将不得不与你的业务一起发展。

随着组织的演变,扩容是 DevSecOps 扩容的另外一个常见痛点。企业在扩大业务规模时,可能很难预测扩展 DevSecOps 的成本。除此以外,云工具链也变得越来越复杂,因此很难在一个工具中设置政策或工作流程,并知道它们在整个工具链中得到了遵守。然而,这些问题可以通过采用单一的、包括安全在内的端到端 DevOps 工具来解决。单一的 DevSecOps 平台有可能实现检测和缓解应用程序威胁的全新方法,同时比非集成平台更有效地做到这一点。

企业可以通过以下方式确保他们正在进行适当的安全调查,加强他们的供应链,并改进他们的 DevSecOps 方法。

  • 保持依赖的可视化,确保开发软件的每个人都熟知依赖

  • 利用 CI/CD Pipeline 来将 SAST 和 DAST 测试自动集成到开发流程中

  • 让开发人员在编写代码时完成漏洞和依赖性扫描,甚至在提交或合并之前就完成

  • 实现自动化的 AI/ML 工具,减少人工安全,增加支持扫描、监控和审查

  • 调研在多云环境中敏感信息管理的解决方案

加强漏洞预防和改善整体安全态势

长期以来,像供应链、勒索软件或云计算攻击等重大违规事件都是以反应性措施来处理的。通过在整个软件开发生命周期中优先考虑安全问题。团队可以抓住并解决许多这类攻击中所利用的漏洞,并大大降低漏洞的风险。

通过安全左移,领导者可以优先进行安全测试,从而更快地修复漏洞,并允许开发人员更快地发布代码。

事实上,这种新的运作模式超越了左移,使安全成为各学科和组织部门的优先事项。DevSecOps 将改变潜在的企业文化,使其拥抱安全并考虑决策对于下游安全的影响。这种文化上的转变对安全来说似乎并不重要,但是,最近针对国家供应链的重大勒索软件攻击的增加表明,目前的学科划分在安全方面留下了缺口,导致了可利用的漏洞。

IT、安全和企业领导必须通力协作来确保他们的组织是一个成功的、被保护的整体。随着越来越多的部门承担起安全责任,企业可以发布从第一天起就考虑到安全的应用程序。

为了变成一个安全优先的组织并且构建出 DevSecOps 框架,这里有一些你的组织应该采取的具体的下一步措施:

1 定义你的 KPI:全面审视你的企业在哪些方面可以提高安全性——评估你的供应商风险、合规要求和安全漏洞。这一阶段的探索将确定你的流程、你的投资以及你认为可以改进的地方。

2 内部集会:在你的董事会和你的团队中,你需要一个组织性的安全优先级。表明企业的每一块都要发挥作用,而保护企业的最好办法就是一起行动。

3 流程一致性:在各业务部门之间划分安全职责的所有权,并准备好与组织内的新人进行合作。

4 确保提议的优先级:在开始的时候,你的安全计划可能会感觉更多的是被动的,并且关注眼前的需求。开始时,要立即修补明显的安全漏洞,然后努力建立一个更积极主动的长期模式。

5 执行策略:在你的团队中积极主动与协作,在整个组织中分享反馈和进展。

6 发展你的战略:你不能设置和忘记安全措施。你的协议和优先事项应该随着你业务的发展而发展。安全就像其他管道一样,它需要不断的迭代和改进。

向 DevSecOps 框架的过渡,一开始会感觉像其他组织转变一样,但接受这一转变的公司将迅速改善其整体安全状况。加强安全是一项商业决策,需要整个组织的支持,它影响着整体商业价值。成功地实施 DevSecOps 框架使企业能够:

  • 增加商业价值:你的企业将能够提供更安全的数据、更安全的产品和竞争优势,从而加强你的品牌和形象。

  • 增加客户价值:有了这个框架,你可以满足客户的安全要求,提高对客户数据的保护。

  • 保持合规:随着更多行业标准和政府标准合规要求的推出,你需要做好满足需求的准备。

  • 建立共同体:当你把安全放在首位时,你将与你的客户和合作伙伴建立信任和信心。

结论

以被动的方式来应对安全是有缺陷的。伴随着大面积的向云迁移,攻击面比以往更大了,组织需要在他们的开发中认真考虑安全所处的角色。企业越积极主动,他们及他们的用户就会得到更好的回报。

公有和私有部门在网络安全方面采取了比以往更强硬的立场。五月份,拜登政府宣布了行政命令,旨在为整个私营和公共部门建立新的安全标准。随着网络安全标准和审查的增加,强制性报告和信息共享,企业将被期望,甚至更多,给予安全他们应有的注意。公司一直有自己的安全和客户的安全需要考虑,但在国家安全方面也要发挥越来越大的作用。企业不能等待。他们需要一个决定性的转变。他们需要一个 DevSecOps 框架。

这是一个 IT 和安全专业人士奋起直追的时刻。一个 DevSecOps 框架或一个更敏锐的风险管理流程可以为 Kaseya、Colonial Pipeline、SolarWinds 和 JBS 做什么。我们永远不会知道,我们所知道的是我们现在可以采取的实际行动。

虽然几年来业界一直在讨论向左转移的问题,现在是时候停止口头宣告并开始采取行动的时候了,风险是巨大的:成为网络攻击的受害者、失去竞争力或者失去客户的信任。雇员、用户和消费者应该得到果断的行动,以提供更安全的产品并使他们得到保护。