用於安全授權的DevSecOps
什麼是DevSecOps?DevSecOps指的是開發,安全和運營團隊與他們的專案攜手合作的戰略,而不是安全部分自己獨立孤立地工作。DevSecOps的每個元件 - 開發,安全和操作 - 都要整合到其元件的流程中。例如,就安全性而言,DevOps應該是安全過程生命週期的一部分。
如果我們要將DevOps應用於安全性,我們必須將安全性視為程式碼。在本文中,我們將回顧如何透過將授權策略視為程式碼,我們可以有效地將授權帶入DevSecOps的策略。
集中和外部訪問控制
為了實現DevSecOps策略所要求的敏捷性和響應性,訪問控制必須從應用程式開始集中和外部化,類似於可擴充套件訪問控制標記語言(XACML)中描述的內容。集中和外部化授權也使組織更安全 ,因為安全策略位於一個地方而不是融入每個應用程式。這意味著我們必須審查一組政策而不是幾套政策!
現代趨勢是微服務。一個常見的問題是微服務實施授權而不遵循單一責任原則。單片和微服務應用程式都需要外部化和集中授權。
政策的版本控制
為了將安全性視為程式碼,我們需要應用版本控制我們的授權策略。在我們的策略中使用版本控制的好處包括:
- 如果新版本遇到問題,則可以回滾到先前的策略。
- 在開發,QA和生產中正確部署策略。
- 要在安全策略團隊中進行有效協作,您可以比較策略,識別差異並根據需要合併更改。
我們可以看到,使用版本控制的好處相當於更靈活和響應,這是DevSecOps的基石。
自動化
透過將授權軟體外部化和集中式,可與Jenkins等自動化伺服器整合,我們可以實現自動化:
- 從我們的版本控制系統部署策略,例如Git。
- 驗收測試可確保關鍵授權錯誤不屬於新策略的一部分。
結論
遵循我們今天在此討論的DevSecOps原則,我們可以極大地提高授權的效率和響應能力。實施這些變更的好處可以帶來更安全的組織。
相關文章
- DATABASE VAULT授權的安全隱患Database
- 讀到的"關於授權"
- Istio安全-授權(實操三)
- 實現基於角色的授權
- 安全測試之認證授權
- DB2授權和特權安全機制DB2
- 關於QQ授權登入
- 關於SAP授權培訓
- 關於微信公眾號靜默授權和非靜默授權的區別
- 認證授權:IdentityServer4 - 各種授權模式應用IDEServer模式
- SpringSecurity3網站安全授權SpringGse網站
- 用於預防勒索軟體的 DevSecOps 流程dev
- 【認證與授權】Spring Security的授權流程Spring
- golang 基於 jwt 實現的登入授權GolangJWT
- 關於第三方授權的理解
- ASP.NET Core 中基於策略的授權ASP.NET
- 基於Docker的MongoDB實現授權訪問DockerMongoDB
- 授權物件許可權後的授權者顯示問題物件
- 使用OPA實現Spring安全授權 | baeldungSpring
- 授權機制與授權模型研究模型
- AppStore 關於賬號授權APP
- 支付寶怎麼刪除已授權應用?支付寶刪除已授權應用的方法
- 基於.NetCore3.1系列 —— 認證授權方案之授權揭祕 (下篇)NetCore
- 微信裡的”授權“
- 授權的藝術
- 認證授權方案之授權初識
- oracle顯式授權和隱式授權Oracle
- 用不安全的授權建立臨時檔案漏洞
- 雲安全風險為何轉向身份與授權?
- mysql 授權MySql
- oracle授權Oracle
- 表列授權
- 關於微信小程式使用者拒絕授權後不再彈出授權視窗微信小程式
- 認證授權方案之授權揭祕 (上篇)
- ASP.NET Core策略授權和 ABP 授權ASP.NET
- [WCF許可權控制]基於Windows使用者組的授權方式[上篇]Windows
- 查詢資料庫授權以及授權到期的處理方法資料庫
- 代理ip的授權使用