DevOps 專業人員如何成為網路安全擁護者
打破資訊孤島,成為網路安全的擁護者,這對你、對你的職業、對你的公司都會有所幫助。
安全是 DevOps 中一個被誤解了的部分,一些人認為它不在 DevOps 的範圍內,而另一些人認為它太過重要(並且被忽視),建議改為使用 DevSecOps。無論你同意哪一方的觀點,網路安全都會影響到我們每一個人,這是很明顯的事實。
每年,黑客行為的統計資料 都會更加令人震驚。例如,每 39 秒就有一次黑客行為發生,這可能會導致你為公司寫的記錄、身份和專有專案被盜。你的安全團隊可能需要花上幾個月(也可能是永遠找不到)才能發現這次黑客行為背後是誰,目的是什麼,人在哪,什麼時候黑進來的。
運維專家面對這些棘手問題應該如何是好?吶我說,現在是時候成為網路安全的擁護者,變為解決方案的一部分了。
孤島勢力範圍的戰爭
在我和我本地的 IT 安全(ITSEC)團隊一起肩並肩戰鬥的歲月裡,我注意到了很多事情。一個很大的問題是,安全團隊和 DevOps 之間關係緊張,這種情況非常普遍。這種緊張關係幾乎都是來源於安全團隊為了保護系統、防範漏洞所作出的努力(例如,設定訪問控制或者禁用某些東西),這些努力會中斷 DevOps 的工作並阻礙他們快速部署應用程式。
你也看到了,我也看到了,你在現場碰見的每一個人都有至少一個和它有關的故事。一小撮的怨恨最終燒燬了信任的橋樑,要麼是花費一段時間修復,要麼就是兩個團體之間開始一場小型的地盤爭奪戰,這個結果會使 DevOps 實現起來更加艱難。
一種新觀點
為了打破這些孤島並結束勢力戰爭,我在每個安全團隊中都選了至少一個人來交談,瞭解我們組織日常安全運營裡的來龍去脈。我開始做這件事是出於好奇,但我持續做這件事是因為它總是能帶給我一些有價值的、新的觀點。例如,我瞭解到,對於每個因為失敗的安全性而被停止的部署,安全團隊都在瘋狂地嘗試修復 10 個他們看見的其他問題。他們反應的莽撞和尖銳是因為他們必須在有限的時間裡修復這些問題,不然這些問題就會變成一個大問題。
考慮到發現、識別和撤銷已完成操作所需的大量知識,或者指出 DevOps 團隊正在做什麼(沒有背景資訊)然後複製並測試它。所有的這些通常都要由人手配備非常不足的安全團隊完成。
這就是你的安全團隊的日常生活,並且你的 DevOps 團隊看不到這些。ITSEC 的日常工作意味著超時加班和過度勞累,以確保公司,公司的團隊,團隊裡工作的所有人能夠安全地工作。
成為安全擁護者的方法
這些是你成為你的安全團隊的擁護者之後可以幫到它們的。這意味著,對於你做的所有操作,你必須仔細、認真地檢視所有能夠讓其他人登入的方式,以及他們能夠從中獲得什麼。
幫助你的安全團隊就是在幫助你自己。將工具新增到你的工作流程裡,以此將你知道的要乾的活和他們知道的要乾的活結合到一起。從小事入手,例如閱讀公共漏洞披露(CVE),並將掃描模組新增到你的 CI/CD 流程裡。對於你寫的所有程式碼,都會有一個開源掃描工具,新增小型開源工具(例如下面列出來的)在長遠看來是可以讓專案更好的。
容器掃描工具:
程式碼掃描工具:
Kubernetes 安全工具:
保持你的 DevOps 態度
如果你的工作角色是和 DevOps 相關的,那麼學習新技術和如何運用這項新技術創造新事物就是你工作的一部分。安全也是一樣。我在 DevOps 安全方面保持到最新,下面是我的方法的列表。
- 每週閱讀一篇你工作的方向裡和安全相關的文章.
- 每週檢視 CVE 官方網站,瞭解出現了什麼新漏洞.
- 嘗試做一次黑客馬拉松。一些公司每個月都要這樣做一次;如果你覺得還不夠、想了解更多,可以訪問 Beginner Hack 1.0 網站。
- 每年至少一次和那你的安全團隊的成員一起參加安全會議,從他們的角度來看事情。
成為擁護者是為了變得更好
你應該成為你的安全的擁護者,下面是我們列出來的幾個理由。首先是增長你的知識,幫助你的職業發展。第二是幫助其他的團隊,培養新的關係,打破對你的組織有害的孤島。在你的整個組織內建立由很多好處,包括設定溝通團隊的典範,並鼓勵人們一起工作。你同樣能促進在整個組織中分享知識,並給每個人提供一個在安全方面更好的內部合作的新契機。
總的來說,成為一個網路安全的擁護者會讓你成為你整個組織的擁護者。
via: https://opensource.com/article/19/9/devops-security-champions
作者:Jessica Repka 選題:lujun9972 譯者:hopefully2333 校對:wxy
訂閱“Linux 中國”官方小程式來檢視
相關文章
- 網路安全專家成後疫情時代最受追捧專業人員
- 為什麼網路安全防禦人員應該擁有網路攻擊者的思考方式
- 綠盟科技成為首批工業網際網路安全“領航”計劃成員
- 綠盟科技成為“海南省網際網路協會網路安全專業委員會”主任委員單位
- 什麼是殭屍網路攻擊?安全專業人員指南
- 教育行業成為網路攻擊重災區,網路安全防護亟待興建行業
- 網際網路企業如何選擇網路安全防護公司?
- 如何成為一名專家級的開發人員
- Adaptiva:82%的IT專業人員認為Windows 10更安全APTWindows
- 網路專業人員需要了解的物聯網資訊
- Edelman:初為人父,擁抱社交網路
- 如何成為更好的AI專業人員?請查收這7條實戰經驗AI
- [譯] 如何從一個業餘愛好者成長成為專業開發者
- 2020年,企業如何維護網路安全?
- 中小型企業如何進行網路安全防護?
- 工業網際網路網路安全防護亟待提高
- 如何成為更好的軟體開發人員
- IT安全專業人員應該知道的12件事
- 網路安全本質“人為因素”
- 美國網路安全促進委員會的主要成員
- 強大的網路安全如何為企業增值?
- 網路維護員工作
- 領導員工成為專案管理者(轉)專案管理
- 製造業成網路安全重災區 如何防範成難題
- 如何成為一名Java自由開發人員Java
- 網路安全等級保護分為幾級?網路安全學習教程
- 重慶市3專案成為網路安全試點示範專案
- 企業網路安全管理維護之探析
- 在美國“輕量化”網路武器威脅之下, 企業如何保護自身網路安全?
- 網路安全黑洞再擴大如何避免成為”待宰”羔羊?
- 領導員工成為專案管理者2(轉)專案管理
- 守護工業網際網路安全|綠盟工業網際網路平臺企業安全綜合防護方案榮獲嘉獎
- 智慧物聯時代 如何守護網路安全?
- 盛世華誕,綠盟科技為網路安全“護航”
- 《網路安全法》為金融科技護航
- 杜躍進:安全如何與工業網際網路“融合與並跑”,將成為最大挑戰
- 如何使用代理保護企業網路?
- 企業資訊與網路通訊安全 團隊成員簡歷-葉俊 (轉)