写在前面的话
DevOps最基本的一个功能,或者说优势,就是它可以将产品的开发团队跟运营团队合并成一个具有凝聚力的“个体”,而这样就可以很大程度地提升工作的效率。但是研究表明,虽然DevOps可以提升企业IT的工作效率,但与此同时有一个非常重要的因素也被忽略掉了,那就是“信息安全”。因此我们不禁想问:“安全”跟“效率”到底谁更重要?
根据CyberArk发布的2018年高级威胁前景报告,DevOps至少会增加一个IT领域的攻击面,即特权账号。特权账号是DevOps的一个必不可少的重要组件,但是CyberArk的数据表明,这些特权账号并没有得到很好的安全保护。
DevOps的安全问题不容小觑
CyberArk 是一家以色列安全公司,该公司成立于1999年,其总部设在美国的马萨诸塞州。在2017年9月到10月,他们委托Vanson Bourne(一家专门从事市场调查与研究的公司)对超过1000名安全决策人员进行了采访调查。调查结果显示,很多安全专家以及安全决策人员对DevOps中的特权账号以及IT基础设施之间的重要隐私数据其实并不算真正的了解。比如说,99%的受调查人员无法找出所有的特权账号以及重要机密数据到底在什么地方,而这种所谓的“知识差距”是非常令人担忧的。其中,还有76%的受访者并不了解DevOps所使用的持续整合以及持续部署工具(CI/CD)。
其中,最大的“知识差距”是关于源代码库方面的,例如GitHub。因为有84%的受访者根本就不知道GitHub有特权账号。除此之外,有80%的受访者不了解互联网中的各种微型服务,还有78%的受访者并不了解云环境方面的细节。
CyberArk的DevOps安全副总裁ElizabethLawler表示:“如果是在企业环境中部署DevOps的话,不仅会创建更多的特权账号凭证以及机密信息,而且跨商业生态系统(相互关联)的共享信息也会增多。即使一个企业或组织拥有专业的安全技术人员,他们也很少会对DevOps中的敏感信息进行管理和保护,因此这些组织也会成为攻击者的主要目标。对于外部攻击者以及恶意的内部人员,窃取特权账号凭证以及机密数据将能够允许攻击者完全入侵组织或企业的整个IT基础设施。因此,如果企业急于通过DevOps来提升IT和业务的效率,则会增加企业IT将要面临的潜在攻击面。”
但是这并不意味着DevOps的安全问题被完全忽略了。37%的DevOps专家表示,被入侵的DevOps工具或环境将成为组织中最严重的安全漏洞之一。其中最主要的一个问题就是DevOps团队对于安全方面的考虑太过于欠缺了,在部署了DevOps的组织中,大约有75%的安全团队并没有设计针对特权账号的安全策略,相当于在所有部署了DevOps的环境中,有三分之二的场景无法实现DevOps与安全的整合。
因此,有安全意识的DevOps专家应该要“自己动手丰衣足食”了。据了解,目前已经有22%的DevOps安全人员已经针对自己的环境部署了相应的安全解决方案以保护和管理DevOps项目的机密数据。Lawler认为:“构建自己的安全解决方案从某种程度上来说是可行的,但这并不是一种扩展性很强的方式。从Jenkins到Puppet再到Chef,不同工具之间的安全标准也不相同,这也就意味着,当你在使用一款工具的时候,你首先得知道如何保障这款工具的安全。当组织在部署DevOps的时候,安全团队必须要对整个基础设施的安全性负责,他们可以设计一个系统化的方法,在保障生产力提升的同时维护整体的IT安全性。”
总结
DevOps往往代表着效率和速度,而安全问题往往会被看作是效率和速度的“拦路虎”。然而这两个因素之间必须是以一种相辅相成的形式存在的,如果企业希望使用DevOps来提升企业的工作效率,而不是削弱企业的整体IT安全,那么CyberArk的调查结果绝对是相关人员需要认真考虑的内容了。
* 参考来源: securityweek ,FB小编Alpha_h4ck编译
本文作者:网友 来源:freebuf
CIO之家 www.ciozj.com 微信公众号:imciow