【IT168 编译】对于安全而言,DevOps模式并不是威胁;而是能够以前所未有的方式确保安全性的工具。对于很多企业而言,部署安全性的典型方法是在开发后再附加的功能。在SecTor安全大会能够,Securosis首席执行官兼分析师Rich Mogull解释了为什么新兴的DevOps可以从根本上将安全重新构建到软件开发和部署过程。
“问题在于,从本质上来看,安全通常是反应性的,”Mogull表示,“我们没有掌控我们的命运,而且,我们必须保护新的东西。”
安全通常是反应性的活动,很多IT企业都不愿意改变,因为他们的环境已经非常复杂。因此,他发现很多企业想要尽可能少的更新,而这又导致了另外的问题。由于没有定期更新,部署的应用程序和开发人员正在开发的应用程序之间通常存在间隙。
解决开发和部署之间的差距所面临的挑战正是新兴做法DevOps旨在解决的问题。Mogull解释说,DevOps基本上是重叠开发和运营为一个有凝聚力的综合的过程。
再进一步,DevOps也代表着一个机会,让安全成为开发和运营模式的一部分。通过使用DevOps技术,安全测试可以构建到这些过程,让安全代码推向到生产运营过程。
“所以,如果你作出改变,并让它通过所有自动化测试,代码就可以进入生产环境,”Mogull表示,“如果产品出现故障时,你可以恢复到最后一个已知良好的状态。”
在DevOps模式中,代码更改不会发生在正在运行的生产代码,而是在开发过程。Mogull表示,在DevOps模式中,在进入生产之前,一切事物都会经过审核、测试和记录。
“有些企业已经禁止SSH访问到其生产服务器,”Mogull表示,“为什么这样?因为这违反了安全性,如果你对生产服务器作出更改就打破了这个过程。”
有些先进的DevOps人员甚至不再修复其生产服务器。通过DevOps,当需要修复补丁时,可以退出全新的平台,而不是修复正在运行的平台。这个新的完全修复的平台推出时,现有未修复的平台仍然存在,然后服务可以在需要时进行迁移。
“你不需要修复你正在运行的服务器;你创建一个新的主映像,然后你开始关闭未修复的实例,”Mogull表示,“通过DevOps,你不再需要打补丁;你只要进行更新。”
Mogull补充说,对于DevOps,基本的安全审计和控制并没有改变。改变的是安全审计在企业的部署方式。在DevOps模式中,应用程序开发环境是同步的、一致的和自动的。因此,开发和生产之间没有差距。
“没有人会对生产现场作出更改,所有更改都在开发过程中执行,”Mogull表示,“这加速了我们的部署周期,减少了错误和提高了业务敏捷性。”
虽然Mogull对于DevOps模型提高安全性非常兴奋,他也理解为什么有些专业人士可能会犹豫是否使用它。由于DevOps模式是高度自动化的,它需要安全专业人员具有可信的安全自动化技能。通常情况下,安全从业人员必须手动进行很多安全测试,而在DevOps他们不再需要这样做。
“如果我们看看安全测试的水平,DevOps是一个安全梦想,”Mogull称,“我们从未有过这么好的功能来嵌入安全性到企业中。”