技術專欄
文/MetaAge 邁達特 產品技術顧問 Evan Yeh
在 DevOps 時代,軟體迭代飛快,然而安全性是否跟得上?在高速迭代的 DevOps 世界中,安全審查時常在開發後期才介入,導致漏洞早已根植,甚至來不及補救。這正是 DevSecOps 誕生的背景。DevSecOps 意味著將「安全性」從一開始就納入開發生命週期,實踐真正的自動化防護,讓「安全」不再是開發流程的絆腳石,而是推動效能的加速器。
DevSecOps 從一開始就考慮應用程式和基礎架構的安全性,並在應用程式開發和基礎架構生命週期的前期,就建立好 Security Gates、消除更多安全漏洞,同時做到移除陳舊的安全實踐工具,並使用「自動化」和「標準化」來優化 DevOps 流程的效率。
本文將為您介紹 DevSecOps 的必知重點、文化轉型和首選工具。透過選擇正確的工具,例如具有安全功能的整合開發環境(IDE)來持續整合開發週期的總體安全性,就可以幫助您實踐 DevSecOps 的目標,讓開發+安全+自動化同時進化。
DevSecOps 是將開發 (Dev)、安全 (Sec) 和維運 (Ops) 整合到軟體開發生命週期中的一種方法。DevSecOps 是一種文化、自動化和平台設計方法,將安全性視為整個 IT 開發生命週期的共同責任。然而,要建構 DevOps 的安全性,需要的不只是導入新工具或新開發流程,您還需將它建立在 DevOps 的文化變革之上,以便儘早整合安全團隊的任務。
過往,安全性角色在軟體開發階段被歸屬到特定的資安團隊。當開發週期持續數月甚至數年時,這個問題並不嚴重,然而那些日子已經一去不復返了,現今軟體開發與更新迭代非常頻繁,如何有效實踐 DevOps 流程達到快速開發,同時還要提升安全意識,是當今開發團隊不斷遇到的課題。在 DevSecOps 的協作框架中,安全性是一個端到端整合的共享責任,這種思維方式非常重要,使 IT 的安全性也必須考量在整個軟體開發生命週期當中,並發揮綜合作用。
若您想更深入了解 DevSecOps,可閱讀這篇文章:DevSecOps 是什麼?4 種優點了解兼顧軟體安全的開發維運方法
從應用程式規劃和開發的早期階段,便開始在整個運行過程中優先考慮安全性的做法,通常被稱為「左移」和「右移」安全性。採用左移方法的 DevSecOps,為開發人員提供了友善的保護機制,可減少開發團隊在建置和部署階段的人為錯誤;而右移方法則是在後製環境中繼續進行測試、品質保證和性能評估的實踐。
而在微服務的導入過程中,DevSecOps 意味著將端到端的安全性融入應用程式開發中。這種與 Pipeline 的整合,需要新的組織思維方式,就像需要新的工具一樣。考慮到這一點,DevOps 團隊應該實現安全自動化來保護整體環境和數據,於持續整合/持續交付(CI/CD)整體流程中穿插資訊安全,當然也包括容器在微服務的安全性。
在日益普及的 Kubernetes 環境裡,身分識別與存取管理(IAM;Identity and Access Management)能根據使用者或應用程式身分以及組織政策,協助企業控管地端與雲端資產的存取權限,是重要的企業安全性政策之一。無論在 DevOps 生命週期的哪一個階段中,開發團隊都需要確實落實身分識別與存取管理,以防止未授權的系統存取以及橫向移動(lateral movement)。而 Red Hat Advanced Cluster Security for Kubernetes (ACS)就是將安全性左移並自動化 DevSecOps 最佳實踐。該平台可與任何 Kubernetes 環境相容,並與 DevOps 和安全工具集成,幫助團隊更好地運作和保護其供應鏈、基礎設施和工作負載。
IT 智能化最佳夥伴-MetaAge 邁達特是 Red Hat 台灣總代理,精耕 Red Hat 技術 10 年以上,是台灣唯一兼備三大公有雲技術量能的 Red Hat 專家,更具有 25 年以上的雲地整合、資安服務經驗。無論是從零到一打造 DevSecOps 流程,還是優化既有 CI/CD 安全策略,邁達特皆能攜手 Red Hat 原廠技術團隊,迅速為企業強化涵蓋完整開發週期的 DevSecOps 安全防線。
若您有任何 DevSecOps 導入顧問/教育訓練服務、Red Hat ACS 平台建置/最佳化/維運支援服務、針對產業法規與資安需求的客製化建置(如金融、製造、公部門等)需求,或針對 Red Hat 產品有諮詢需求(如 OpenShift、OpenShift Virtualization Engine、Ansible、Enterprise Linux 等),歡迎您由此填寫【 免費諮詢表單 】,將有專屬顧問立即與您一對一聯繫。
