DevSecOps簡介（二）

越來越多的組織機構開始採取 DevOps 實踐，作為呼應，本文將概括強調很多人認為這一實踐缺失的部分：安全。隨著 NV (網路虛擬化) 和 NFV (網路功能虛擬化)的使用率逐步攀升，在開發和部署流程中建立可程式化、可重複進行的安全管理已經成為現實。

OpenDaylight participants、思科 ACI、VMware NSX、Nuage Networks以及其他眾多服務商提供的動態、抽象的網路特性開啟了一扇新的大門，使安全能夠成為應用生命週期管理（ALM）的一部分。基礎設施即程式碼這個短語恰如其分地描述了我們需要的東西。基礎設施配置需要擴充套件到應用環境以外的領域。

NFV：通向 DevSecOps 之門

網路虛擬化並不是 DevSecOps 的終極目標，只是其中的一小部分。啟動 L2/L3 網路流量已經給資料中心愈發敏捷的實踐帶來了極大的提升。機房環境和雲環境都已經從這些程式化管理網路的新方法中受益。再次提醒大家，資料流其實只是網路虛擬化帶給我們的便利中極小的一部分。

再往上到堆疊的4-7層，就到了 NFV 大顯身手的時候了。從純運營的角度來看，NFV 帶來了我們渴求的程式化、可預測的部署和管理。在常規資料中心管理中常用的配置管理工具（例如 Chef、Puppet 和 Ansible），現在已經擴充套件到了網路領域。這似乎也是 NFV 存在的理由。不過故事遠不止這些。

NFV 可能會讓人困惑，因為它在 L2/L3 管理上會混亂不清，不過它其實主要用於管理應用閘道器、L4-7 防火牆、負載均衡器等其他功能。NFV 讓這些功能虛擬化，並縮短了它們與實際工作負載間的距離。

NV 和 NFV 是安全工具，而非網路工具

當談到 NV 和 NFV 時，我們應該擴大視野，考慮全域性。所有通過建立程式化部署和管理取得的成就似乎主要針對 DevOps 式的交付。DevOps 經常被當做加速應用開發的一種方法，然而在談論網路和經常提到的 DevSecOps 方法論時，速度和敏捷只是全域性的一小部分。

實際上，NV 和 NFV 其實是安全工具，並非網路工具。這聽起來的確挺奇怪，不過還是想想 NV 和 NFV 實際為我們帶來了什麼吧。

當我們啟動網路層的程式化管理時，我們同時也啟動了其他一些強大的功能，包括審查 L2-L7 配置的安裝和運營。清楚地知道整體 L2-L7 環境何時發生了什麼樣的變化，這讓所有的資訊保安同仁們露出了笑顏，他們也的確應該開心。

西方-東方成為新的資訊高速公路

也許資料中心或雲的東西方交通並非超級高速，但是在接下來的幾年乃至更遠的將來，它將成為最繁忙的通道。隨著擴充套件應用程式成為主流設計模式，在虛擬元件之間、防火牆背面以及巢狀、虛擬網路中將會傳輸越來越多的資料。

關於以這種方式傳輸的實際流量的資料和例證有很多，不過不管你選擇參考哪種預測，數額都是驚人的。這也是使用 NV/NFV 促成的增長。

無論我們用何種原因來論證 DevSecOps 將會成為新的資料中心和雲實踐的一部分，它都將不可避免地成為現實。唯一的疑問就是我們用多長時間能將它納入標準運營流程。

正當你以為自己身陷 DevOps 困境時，筆者又給你增加了一個新概念。別擔心，這些都是好東西，你很快就能弄明白。相信我，因為我會幫你完成這個旅程。

如今，多樣化的攻擊手段層出不窮，傳統安全解決方案越來越難以應對網路安全攻擊。OneRASP 實時應用自我保護技術,可以為軟體產品提供精準的實時保護，使其免受漏洞所累。想閱讀更多技術文章，請訪問 OneAPM 官方技術部落格。

本文轉自 OneAPM 官方部落格