DevSecOps — 利害關係人間的整合
DevSecOps思維
Apr 25, 2024
DevSecOps 的主要目標是“確保資料安全”,而 Krav Maga 的目標是“安全回家”。 這兩種方法都是適應性防禦系統,並且有幾個共同的原則:
- 法律界線
- 演練
- Chaos
- 定位
- 堅固性(Ruggedess)
- 態勢感知(situation awareness)
PS:
所謂Rugged DevOps—
是一種在持續交付管道中儘早納入安全實踐的方法,以提高網路安全性、發布速度和品質,超越 DevOps 實踐單獨所能產生的效果。
良好文化
良好的DevSecOps實踐。第一個C-Level們要買單這個理念,因為才會產生:
- 組織文化的改變
- 新的協作流程
- 自動化流程的工具
- 並應用一致的治理
DevSecOps專案必須在以上四個領域取得進展才能取得成功,而安全文化和韌性工程則是關鍵。以Netflix的說法: “避免失敗的最好方法就是不斷失敗”。
韋斯特魯姆的組織類型學
病態型的(權力導向):
- 低度合作
- 資訊會打折
- 負責規避(會甩鍋)
- 穀倉效應
- 失敗後找戰犯
- 不會有好奇心
官僚的(規則導向):
- 中度合作
- 資訊可能被忽視
- 只承擔最小責任
- 部門間最小的互通
- 失敗要接受審判
- 好奇心會產生問題
生成式(績效導向):
- 高度合作
- 資訊高度透明
- 風險是共享的
- 部門間高度互通
- 失敗產生疑問
- 好奇心可以實現
在文化和行為上,安全和 DevOps 是截然不同的; 就這兩種專業而言,安全架構師和軟體工程師的說的語言是不同的。有效的 DevSecOps 實踐可以幫助改變業務運作方式。
三步工作法來彌合文化差距
系統性思考需要不同的技能方法
1.編寫合適的規則並獎勵正確的行為
- 改變行為就是改變習慣
- 在整個工作環境中導入模式,隨著時間的推移,人們會習慣以某種方式工作
- 隨著時間的推移,人們的思維模式也會發生變化,文化也開始轉變
2. 發展軟技巧
- 軟技巧是基本技能
- 企業也可以考慮尋找特定的性格類型,他們可能不具備 DevSecOps 的完美技術技能,但這是可以學習與累積的
- 並非目前在 DevOps 和安全團隊工作的每個人都適合 DevSecOps 模式,這一點也必須有所認知
3. 數位轉型的安全性與速度一樣重要
- DevSecOps 將安全性重新定位在價值鏈的更高位置
- 在整個組織內強化這一點
- 確保 DevSecOps 包含在數位轉型投資案例中
DevSecOps利害關係人
開發團隊:
所有與"開發"軟體產品與服務相關人員,包含但不排除:
- 工件
- 業務代表
- 客戶
- 產品負責人
- 專案經理
- QA
- 測試人員
- 分析師
- 供應商
開發團隊:
所有與"交付與管理"軟體產品與服務相關人員,包含但不排除:
- 資安專家
- 系統工程師
- 系統管理員
- IT維運工程師
- 發布工程師
- DBA
- 網路工程師
- SREs
- 供應商
- 第三方廠商
領導者:
所有C-levle們、董事會和最高管理階層。 董事會都需要基於講人化原則對網路安全有基本的了解和意識。 為了解決這個問題,我們可以從主管的角度將治理呈現為使用者故事。
董事會希望以簡潔、易懂的語言以確保他們:
- 對網路風險和威脅進行充分的管理
- 已了解重大攻擊和未遂事件,並建議採取行動防止再次發生
- 已了解我們重要第三方的安全安排,包括任何重大攻擊
- 具效能與效率地利用了網路安全投資
DevSecOps四大支柱
組織面
- 文化變革與高層支持
- 溝通與協作
- 全程地安全/品質保證
- 從成功/失敗中學習
- 回饋與使用者驅動變革
流程面
- 協作設計
- TDD(Test driven development)
- 一般性且能自動化的作業
- 持續適應與優化
- 持續ATO
技術面
- 適應工具
- 自動化與編排
- 雲端與容器化
- IaC
- Security as code
治理面
- 內建的治理控制
- 統一政策執行
- 數據驅動的驗證
- 增強可見性
- 繼承的認證和授權
