新时代 DevOps 需求下，我们该如何保障服务的安全？

新时代 DevOps 需求下，我们该如何保障服务的安全？

在投入生产环境之前，基于静态参数的安全策略和手动配置安全策略将占用大量时间，从而影响到服务的发布质量，增加错误出现的风险，同时也会拉慢 DevOps 周期。然而，如果贸然选择一个 DevOps 流程工具来提供安全策略，鉴于这些工具缺乏核心控制，并且不能与其他安全基础设施整合，这将给企业业务带来大量的风险。

为了解决这个挑战，IT 和安全团队应该采用匹配 DevOps 敏捷需求的平台和流程工具。因此，在选择过程中，决策者应该牢记以下几点：

内置自动化。安全自动化意味着所有操作都可以在避免人为干预的情景下部署和管理，包括防火墙策略、漏洞扫描配置、入侵检测、多因素认证等。其中，最受人欢迎的无疑就是整个生命周期上的自动化，在这里，特定环境下的决策只需要设定一次，随后即会在所有生命周期（从部署到解除配置）中完全自动执行。期间，审计和操作数据的自动收集同样至关重要，特别是在运行周期较短的基础设施组件上。即使短暂存在，这些瞬息资源同样需要在审计范围之内，即使它在审计时根本没有运行。良好实现的自动化允许安全组织使用动态基础设施模型以匹配不同规模和速度的变化。同时，工具需要自动制定出准确和有效的安全策略，从而彻底排除了人为错误。

安全调度。具备安全调度的平台需要集中管理构成、部署，并将独立控制组件管理集中到一个复杂、面向服务的安全系统。通过整合多个独立控制件到一个大型系统，安全调度可视为一个更高等级的函数。在许多实现中，调度同样针对许可、度量、回退等其他安全资源消耗问题，这些在面向服务的云计算和软件定义基础设施环境中非常重要。

灵活的策略定义：在新型安全平台中，取代静态网络参数配置，安全策略需要可以通过逻辑应用程序来定义，从而可以自动地对新部署应用进行保护，亦克服了传统网络安全工具的天然局限性。

聚焦每个阶段中的安全：DevOps 拥有多个不同的阶段，其中有许多都是在不同云服务以及不同虚拟架构上进行的，从而也为攻击者留下了可乘之机。在这种情景下，你需要打磨每个阶段的安全策略，从而消除安全隐患。同样重要的是，开发团队需要知晓安全对应用程序的重要性，因此在早期就考虑安全决策非常重要。

使用分层途径：平台需要在 DevOps 模型中提供分层安全策略，而不只是一个防火墙。从流程角度来说，从多个供应商集成不同功能存在着非常大的挑战。因此，请确定类似文件完整性监控、安全配置监控、强访问控制及漏洞管理都被集成到一个平台上，并覆盖了生命周期中的所有系统。

与流程工具无缝集成：确保所选择的安全平台可以与已使用的流程工具无缝集成，因为在各种不同工具间切换显然会降低效率、带来错误风险并降低系统的整体安全。