红帽全球峰会安全防护不应是补救措施 而是持续不断的保驾护航
安全防护常被看作事后的补救措施。是安全和 IT 运营团队在开发生命周期结束时才做的事情。如果每年进行一次或两次软件更新,此流程尚可管理。但是,如果软件开发人员想要选择更短、更敏捷的软件开发生命周期(几天甚至几个小时),这种安全方法就会阻碍必要更新的发布,乃至影响将应用快速发布到生产环境。
“在 DevSecOps 转向云的过程中亟需关注的四大领域包括: 数据安全(45%)、云安全管理(36%)、供应链安全风险(33%)和保护公共云资产(29%)。” 1
数据安全
云安全管理
供应链安全风险
保护公共云资产
通过在应用开发生命周期的早期采用和集成 DevSecOps 实践,IT 和安全团队能够更早地应对跨人员、流程和技术的安全挑战。这些实践使安全防护成为开发生命周期中持续且不可或缺的一部分。这种敏捷的工作方式还可以提高速度和效率,提高安全性和合规性,增强一致性、可重复性和协作,并有助于减少人为错误。
通过结合这些举措,最终可以有效降低风险,确保企业组织能够满足行业安全合规标准。但是,如何才能实现这一步呢?
为什么 DevSecOps 很重要
借助 DevSecOps,
可以快速安全地实现
随着企业越来越多地跨混合环境(包括裸机、虚拟机、私有云和公共云)运行更多的工作负载,这些企业也越来越多地面临着复杂而棘手的安全与合规问题。分散在各工作负载的数据会让已有的安全挑战更加难上加难,例如容器安全、内部威胁或恶意软件。
DevSecOps 能帮助 IT 和安全团队从容解决人员、流程和技术中的安全问题。具体而言,DevSecOps 有助于:
- 在应用开发和基础架构生命周期的早期消除更多安全漏洞,从而提高安全性并最大限度地降低风险
- 使用自动化和标准化,消除传统安全实践和工具,从而提升 DevOps 发布周期的效率和速度
- 在应用开发和基础架构生命周期的早期实施防御措施,从而降低风险并提高可见性
安全团队不仅需要消除风险隐患,还需要管理多个云提供商的安全和合规性问题以及快速变化的 IT 标准。因此,实现混合云安全防护在很大程度上依赖于整个企业团队的参与和协作。
“与安全团队齐心协力、承担更多安全责任的 DevOps 团队表现出更高的 DevSecOps 成熟度。关键是开发、IT 运维和信息安全团队要共同负责。”2
开源和开放标准是我们开放混合云战略的关键基础,因为开源提供的开放元素使应用和数据能一致地从一个环境移动到另一个环境。但是,使用非托管的社区软件有可能让企业组织轻易受到攻击。
我们的开放混合云安全防护和 DevSecOps 的方法提供了值得信赖和以安全为中心的解决方案,可帮助企业专注于构建、管理和控制其混合环境,实施自动化策略,以及通过 DevSecOps 实践开发强大的应用。
红帽 DevSecOps 方法
尽早、频繁且持续地将 DevSecOps 实践集成到应用开发生命周期中
对于希望在保障安全的情况下快速开发应用的企业,DevSecOps 至关重要。但是,DevSecOps 不仅仅关乎应用生命周期。通过我们的方法携手红帽的合作伙伴生态系统,一同将安全防护集成至生命周期和技术堆栈的每个阶段。
构建安全至上的混合云
在应用管道之前开始成功实现 DevSecOps。第一步,组织应确保其应用和基础架构运行于具有内置安全工具和功能的软件上。
红帽开源软件采用软件供应链安全流程开发,可以让您灵活地将工作负载移动到最适合您业务的任何空间,同时减少暴露于漏洞和攻击的风险。红帽的解决方案还包括对源代码的静态代码分析、软件来源、广泛的质量保证和回归测试、强化、安全渠道分发以及红帽产品中所有软件包的持续安全更新。
红帽企业 Linux® 提供基础性的安全防护,客户可以放心地借助它在裸机、虚拟环境、容器及各类云环境之间一致地扩展重要的应用并部署各种新兴技术。
借助红帽企业 Linux 提供的基础安全防护,在其上运行的分层产品(如红帽 OpenShift®)可沿袭并受益于红帽企业 Linux 提供的安全技术。红帽提供与 Linux 容器同样值得信赖的 Linux 内容。使用红帽通用基础镜像,无论在哪里运行符合开放容器计划(OCI)的 Linux 容器,客户都可以充分获享红帽容器镜像更高的可靠性、安全功能和性能。
管理和控制安全至上的混合云
大规模管理和控制混合环境(包括传统环境和容器化环境)的一个关键方法是,在应用开发、安全运维和基础架构运维中使用一致的自动化策略,这样能够提高安全性和合规性。当公司为混合云采用一致的自动化策略时,能获得安全性和合规性的重大提升。
使用 DevSecOps 实践进行应用开发的安全防护
当组织为了提高安全性而在集成安全性的基础上构建混合云,并在整个组织中实施了一致的自动化策略来管理和控制其混合环境,就应该继续关注安全问题,将自动化延伸到整个应用生命周期中,并在开发和基础架构生命周期早期采用 DevSecOps 实践。
45%
“45% 的受访者认为,在保持安全的同时,更快的开发和部署是主要驱动因素。”3
红帽 DevSecOps 解决方案旨在帮助我们的客户尽早将安全防护嵌入应用管道,并在传统和容器化环境中使用 DevSecOps 实践部署和运行应用。这不仅是技术变革,也是文化和人员流程的变革。
55%
“55% 的 DevSecOps 领导者表示,在应用开发和安全团队之间建立共同责任文化十分重要。”4
携手不同领域的合作伙伴,我们将提供所需的工具和服务来构建一个全面的 DevSecOps 生态系统,并且凭借深厚的专业知识和能力,提供强大的产品组合,从而在开放混合云中构建、部署和运行安全至上的应用。这一切将带来怎样的改变?在不牺牲安全的前提下,实现流程改进、应用开发速度加快、树立协作文化并且降低业务风险,最终惠及客户。
深入了解
DevSecOps
了解红帽 DevSecOps 框架如何奠定可靠且可扩展的基础,从而帮助企业扩展 DevOps 安全性并降低风险。
电子书
了解如何践行 DevSecOps 实现应用生命周期的现代化和安全保障
1:IDC 白皮书,红帽赞助。《DevSecOps:降低重大风险会带来更佳业务成果》。#US48346521,第 6 页,2021 年 12 月。
2:IDC 白皮书,红帽赞助。《DevSecOps:降低重大风险会带来更佳业务成果》。#US48346521,第 4 页,2021 年 12 月。
3:IDC 白皮书,红帽赞助。《DevSecOps:降低重大风险会带来更佳业务成果》。#US48346521,第 5 页,2021 年 12 月。
4:IDC 白皮书,红帽赞助。《DevSecOps:降低重大风险会带来更佳业务成果》。#US48346521,第 15 页,2021 年 12 月。
