加入收藏 | 设为首页 | 会员中心 | 我要投稿 应用网_丽江站长网 (http://www.0888zz.com/)- 科技、建站、数据工具、云上网络、机器学习!
当前位置: 首页 > 服务器 > 安全 > 正文

介绍云原生应用安全组织架构

发布时间:2022-08-05 17:12:28 所属栏目:安全 来源:互联网
导读:数字化转型是一股不可忽视的力量。在每个垂直领域,企业都努力成为技术公司,并越来越多地区分他们如何实现这一描述。 云和DevOps在这种转型中发挥着巨大的作用,并彻底改变了我们开发和运营软件的方式。软件从未像今天这样容易创建,从未像今天这样频繁地更
  数字化转型是一股不可忽视的力量。在每个垂直领域,企业都努力成为技术公司,并越来越多地区分他们如何实现这一描述。
 
  云和DevOps在这种转型中发挥着巨大的作用,并彻底改变了我们开发和运营软件的方式。软件从未像今天这样容易创建,从未像今天这样频繁地更新,也从未创新过如此迅速地适应客户需求。
 
 
 
  面对这样的变化,安全别无选择,只能适应。企业必须并将继续努力提高速度,而独立团队是实现这一目标的唯一途径。我们保护应用程序的方式必须转变,使其成为这些独立开发团队日常工作的一部分。安全团队首先需要专注于帮助这些团队实现安全性。安全性需要成为开发优先。
 
  安全行业并不是 DevOps 旅程的一部分。安全流程倾向于控制持续流程,而不是合并到流程中。值得注意的是,安全流程无法实现以下功能:
 
  增强独立开发团队的能力
  安全能力由一个单独的团队拥有,开发团队无权做出安全决策,并且工具主要是为审计人员而不是构建人员设计的。
 
  持续运维
  安全流程仍然严重依赖手动门,例如安全审计或结果审查,从而减慢了持续流程的速度。
 
  让安全工作违背速度和独立性的业务动机,不可能有好下场。开发团队必须在放慢速度(这会损害业务成果)和规避安全控制(这会引入重大风险)之间做出选择。这些都不是可行的长期选择,因此企业必须改变其安全实践以适应 DevOps 现实。
 
  DevOps 推动了对开发优先的安全方法论的需求,在数字化转型时代,我们还看到了云的演变和云原生应用程序。云原生应用程序的范围比其前身更广泛,并且越来越多地包含底层堆栈的更多元素。
 
  应用程序范围的这种变化也需要改变应用程序安全的范围。本文讨论应用程序安全性的一个新的和扩展的范围,称为云原生应用程序安全 (CNAS)。
 
  采用 CNAS 需要对我们保护应用程序和基础架构的方式进行重大更改。进行转变的过程是一个旅程,对于每个组织,甚至对于同一组织的不同部分,其经历都是不同的。
 
  虽然选择正确的道路是由你的决定,但是为了获得正确的路径,模式和最佳实践已经开始出现。在本文中,我提出了几个可以考虑打破现状的领域,以及如何打破现状。
 
  重新思考安全组织架构
  组织通常根据责任范围进行拆分。当你将保护基础架构的某些部分视为应用程序安全问题时,请重新考虑如何构建安全组织。更具体地说,请考虑是否更改应用程序安全团队的责任范围。
 
  此外,随着你的安全实践变得更加偏向开发优先的理念,并专注于增强开发人员的能力,你对此应用程序安全团队的要求也会发生变化。你需要更多的同理心和项目管理以及更多的工程能力。你需要更多的建设者和更少的破坏者。
 
  核心应用安全团队
  让我们从现状开始,为应用程序安全团队保持相同的范围。由于这是默认状态,因此大多数组织都使用此团队作用域, 至少作为起点。
 
  核心应用程序安全团队的任务是保护自定义应用程序代码和业务逻辑以及正在使用的开源库。他们通常拥有经典的应用程序安全测试(AST)套件,包括静态,动态和交互式应用程序安全测试(SAST,DAST和IAST)以查找自定义代码中的漏洞,以及软件成分分析(SCA)工具以查找易受攻击的开源库。此外,这些团队通常会开发安全教育和培训,并可能开展漏洞管理或漏洞赏金工作。在某些情况下,他们也可能使用 RASP 或 WAF 工具实现运行时应用程序保护的能力。
 
  核心应用程序安全团队成员通常需要是安全编码方面的专家,并具有应用程序运行审核和安全代码审计的一些经验。他们需要良好的开发人员同理心才能与开发人员合作,这反过来又需要一些理解或与代码相关的能力,但不需要完整的软件开发证书。
 
  安全工程/安全平台团队
  将安全管控流程的步骤实现自动化是现代开发环境中的关键。快速 CI/CD 管道没有手动审查的空间,而是需要自动化管道测试。此外,开发人员不是安全专家,他们花在安全上的时间更少,因此需要具有嵌入式安全专业知识的工具,并能够减轻或促进安全性决策。
 
  构建和运营安全工具并非易事,尤其是在大型组织中,不同的开发团队有着截然不同的要求。为了帮助提高自动化程度,一些组织创建了专门的安全工程团队,专注于构建内部工具和集成外部工具,所有这些都是为了增强安全性。
 
  安全工程团队由对安全性略有偏见的软件工程师组成,其运作方式与完整的 DevOps 工程团队类似。他们通常构建、部署和运营他们构建的服务,并使用与其他工程团队相同的方法来运行其敏捷流程和管理产品积压工作。
 
  产品安全团队/云原生应用安全团队
  安全团队模式的最新成员是产品安全团队。这些团队的范围更大,不仅包括应用程序代码本身,还包括与产品有关的所有内容。最值得注意的是,两个关键的新增功能是捕获完整的 CNAS 范围,并帮助在产品本身中构建安全功能。
 
 
  请注意,许多核心应用程序安全团队正在扩展以涵盖完整的 CNAS 范围,而无需正式更改其团队名称和任务。选择和实施解决方案来扫描容器镜像以查找漏洞并审核 IaC 文件越来越成为应用程序安全团队的领域。虽然可以安全地假设产品安全团队捕获了这个完整的范围,但这样的重命名并不是绝对必要的,而且许多应用安全团队在没有这种声明的情况下已经发展起来了。

(编辑:应用网_丽江站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

    热点阅读