加入收藏 | 设为首页 | 会员中心 | 我要投稿 云计算网_泰州站长网 (http://www.0523zz.com/)- 视觉智能、AI应用、CDN、行业物联网、智能数字人!
当前位置: 首页 > 服务器 > 安全 > 正文

畅聊云原生应用安全组织架构

发布时间:2022-07-30 15:16:02 所属栏目:安全 来源:互联网
导读:数字化转型是一股不可忽视的力量。在每个垂直领域,企业都努力成为技术公司,并越来越多地区分他们如何实现这一描述。 面对这样的变化,安全别无选择,只能适应。企业必须并将继续努力提高速度,而独立团队是实现这一目标的唯一途径。我们保护应用程序的方式
  数字化转型是一股不可忽视的力量。在每个垂直领域,企业都努力成为技术公司,并越来越多地区分他们如何实现这一描述。
 
  面对这样的变化,安全别无选择,只能适应。企业必须并将继续努力提高速度,而独立团队是实现这一目标的唯一途径。我们保护应用程序的方式必须转变,使其成为这些独立开发团队日常工作的一部分。安全团队首先需要专注于帮助这些团队实现安全性。安全性需要成为开发优先。
 
  安全行业并不是 DevOps 旅程的一部分。安全流程倾向于控制持续流程,而不是合并到流程中。值得注意的是,安全流程无法实现以下功能:
 
  增强独立开发团队的能力
  安全能力由一个单独的团队拥有,开发团队无权做出安全决策,并且工具主要是为审计人员而不是构建人员设计的。
 
  持续运维
  安全流程仍然严重依赖手动门,例如安全审计或结果审查,从而减慢了持续流程的速度。
 
  让安全工作违背速度和独立性的业务动机,不可能有好下场。开发团队必须在放慢速度(这会损害业务成果)和规避安全控制(这会引入重大风险)之间做出选择。这些都不是可行的长期选择,因此企业必须改变其安全实践以适应 DevOps 现实。
 
 
  重新思考安全组织架构
  组织通常根据责任范围进行拆分。当你将保护基础架构的某些部分视为应用程序安全问题时,请重新考虑如何构建安全组织。更具体地说,请考虑是否更改应用程序安全团队的责任范围。
 
  此外,随着你的安全实践变得更加偏向开发优先的理念,并专注于增强开发人员的能力,你对此应用程序安全团队的要求也会发生变化。你需要更多的同理心和项目管理以及更多的工程能力。你需要更多的建设者和更少的破坏者。
 
  核心应用安全团队
  让我们从现状开始,为应用程序安全团队保持相同的范围。由于这是默认状态,因此大多数组织都使用此团队作用域, 至少作为起点。
 
  核心应用程序安全团队的任务是保护自定义应用程序代码和业务逻辑以及正在使用的开源库。他们通常拥有经典的应用程序安全测试(AST)套件,包括静态,动态和交互式应用程序安全测试(SAST,DAST和IAST)以查找自定义代码中的漏洞,以及软件成分分析(SCA)工具以查找易受攻击的开源库。此外,这些团队通常会开发安全教育和培训,并可能开展漏洞管理或漏洞赏金工作。在某些情况下,他们也可能使用 RASP 或 WAF 工具实现运行时应用程序保护的能力。
 
  核心应用程序安全团队成员通常需要是安全编码方面的专家,并具有应用程序运行审核和安全代码审计的一些经验。他们需要良好的开发人员同理心才能与开发人员合作,这反过来又需要一些理解或与代码相关的能力,但不需要完整的软件开发证书。
 
 
  安全工程/安全平台团队
  将安全管控流程的步骤实现自动化是现代开发环境中的关键。快速 CI/CD 管道没有手动审查的空间,而是需要自动化管道测试。此外,开发人员不是安全专家,他们花在安全上的时间更少,因此需要具有嵌入式安全专业知识的工具,并能够减轻或促进安全性决策。
 
  构建和运营安全工具并非易事,尤其是在大型组织中,不同的开发团队有着截然不同的要求。为了帮助提高自动化程度,一些组织创建了专门的安全工程团队,专注于构建内部工具和集成外部工具,所有这些都是为了增强安全性。
 
  安全工程团队由对安全性略有偏见的软件工程师组成,其运作方式与完整的 DevOps 工程团队类似。他们通常构建、部署和运营他们构建的服务,并使用与其他工程团队相同的方法来运行其敏捷流程和管理产品积压工作。
 
  产品安全团队/云原生应用安全团队
  安全团队模式的最新成员是产品安全团队。这些团队的范围更大,不仅包括应用程序代码本身,还包括与产品有关的所有内容。最值得注意的是,两个关键的新增功能是捕获完整的 CNAS 范围,并帮助在产品本身中构建安全功能。
 
  完整的云原生应用安全范围
  扩展到包括 CNAS 范围是将某些基础架构风险重新思考为应用程序安全性的自然结果。如今,像容器和IaC这样的技术都是由编写自定义代码、使用相同实践和工具的相同开发人员驱动的。为了支持这一变化,AppSec团队需要支持这些工程师成功地做到这一点。拥抱这个更广泛范围的团队通常将自己称为产品安全团队。
 
  这种扩展的CNAS范围意味着产品安全团队在软件开发生命周期中的更大一部分内开展工作。包括更多的参与到生产部署甚至运维工作中,从而导致与更注重运营的云安全团队重叠。在实践中,云原生开发意味着云安全同时受到开发和运维团队的影响,产品安全团队覆盖前者。

(编辑:云计算网_泰州站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
      站长推荐
      热点阅读

        【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

        建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的优质浏览效果

        Copygight © 2013-2023 http://www.0523zz.com/ All Rights Reserved. 云计算网_泰州站长网

        ICP备案:浙ICP备12044117号 浙公网安备 33038102330476号