摘要:我所在的企业希望DevOps能更快开发和部署应用,但在应用生命周期管理中,我们应该如何保护加密和数字密钥? |
我所在的企业希望DevOps能更快开发和部署应用,但在应用生命周期管理中,我们应该如何保护加密和数字密钥?
Judith Myerson:DevOps应用程序生命周期管理由两部分组成。在第一部分,开发人员构建并测试应用,以发现编码错误。在第二部分,生产操作人员部署并监控该应用。如果应用没有正常运行,生产操作人员和开发人员将协同解决问题。这个生命周期不断重复,直到应用可在实际生产环境中正常运行。
这种DevOps应用生命周期管理方法的缺陷是,在开发或者测试生产阶段可能被忽略的加密安全风险将转移到实际生产系统。
风险管理分析师和安全专家并不是标准DevOps团队的一部分。在每个DevOps生命周期阶段,风险管理分析师评估风险以及确定安全控制。而安全专家则确定可使用哪些具有成本效益的安全工具(自动和手动)来缓解风险。
Dimensional Research有关加密安全和DevOps应用生命周期管理的研究表明,在拥有成功DevOps实践的企业中,89%的企业意识到需要安全控制来抵御攻击。而在部署DevOps的企业中,只有56%意识到这些控制的作用。
我们需要工具来阻止攻击者成功攻击DevOps密钥和证实书,攻击者可能隐藏在加密流量中来避免检测。
根据A10 Networks的报告显示,41%的网络攻击使用加密来规避检测。
如果你想要保护密码和数字密钥,请遵许以下步骤:
1.为每个生命周期阶段制定计划
2.从内部部署到云端,应考虑应用变化
3.DevOps团队应包含风险管理分析师和安全专业人士
4.制定有效的意识计划
5.构建DevOps工具包来防止加密和数字攻击。
责任编辑:DJ编辑