2017年DevOps模式下安全挑戰和轉機.pdf

1、DevOps模式下安全挑戰和轉機目錄0102行業現狀存在問題0304解決方向DevOps模式下安全的7條法則行業現狀01SDN/SDE/ABC/IOT 全是DevOps的功勞安全看熱鬧？黑客宣言：我們不是漏洞的生產者，我們只是漏洞的搬運工，研發是最好的盟友、也是最強大的敵人。存在問題02應用安全積弊已久，是全產業鏈的問題日趨嚴重Agile+DevOps-業務生存壓力-速度至上-黑客-研發-開源DevOps、云-安全廠商安全技術及理念落后-安全圈的自戀-缺少直接需求四面楚歌速度是一切，安全卻在拖后腿安全防護系統的軟件定義、可編程能力低，無法集成到DevOps應用是攢出來的、而非寫出來的安全技術落

2、后安全VS開發 不成比例資源匱乏安全介入晚，因為誰都想繞著走卡點？失效解決方案03解決方案DevOps模式下04安全的7條法則Dev and OpsDev and Sec擁抱DevOps復制DevOps第一法則:溝通與協作敵對模式Infrastructure&OperationsDepartment of NOApplication Development Department of Anything GoesSecurity and Risk Department of Persistent Nagging悲催模式需求驅動進步生態利益鏈中安全總是被“忽 略”我們總是那個找茬、令人憎惡的人發動

3、全民安全運動，迫在眉睫但 Who cares?內驅力我什么要做-不做，你能把我怎么著？-我的活已經很多了，別加了-做了，我有啥好處？如何衡量-看結果：代碼、產品安全 漏洞數-看過程：做了哪些安全工作-看實力：知識，能力競賽 CTF?紅黑榜？DevOps uses integrated product teams建立順暢的溝通管道 SEC向DEV學習 SEC幫助DEV DEV向SEC學習 DEV幫助SEC 共同協作 建立反饋機制第二法則:Visibility別給我文檔，show me your code？沒有度量就沒有進步 讓數據說話 要結果 更要過程 可視化也是相互的 全記錄的重要性可視化管道

4、Dev&OpsSecurity AnalystsApps/NetworkExternal FactorsThreat intelligenceSecurity feedFeedback&Knowledge第三法則:迭代、碎片化迭代、碎片化現用現學現賣可復用模塊化認證權限加密日志SQLSSRF學會逐步改進CD積累編碼規范、指南代碼、庫、工具SDK API 服務原則、策略、要求第四法則:嵌入式安全Source CodeGitCloudformation TemplatesJenkinsFunctional TestsChef RecipesChef ServerNonFunctional Test

5、sSecurity TestsTestProd創建一個安全代碼庫(包括架構)Source CodeGitCloudformation TemplatesJenkinsFunctional TestsChef RecipesChef ServerNonFunctional TestsSecurity TestsTestProd可擴展的安全測試Source CodeGitCloudformation TemplatesJenkinsFunctional TestsChef RecipesChef ServerNonFunctional TestsSecurity TestsTestProd自動化安

6、全運維第五法則:管好軟件供應鏈90%現在的代碼來自開源16個下載就有一個有漏洞31%公司已經或懷疑發生開源的攻擊2014年97%成功的攻擊可以追溯到10個通用的漏洞，其中8個補丁超過10年堅持用最新的No CVE建立和維護關鍵白名單、黑名單、灰名單減少維護版本最好只有一個版本不要露掉網絡、數據庫操作系統識別、控制入口實現自動化掃描建立軟件倉庫和軟件地圖使用 CD Pipeline管理3rd 軟件三方軟件的實戰當發現漏洞，通過CD Pipeline工具快速更新所有軟件第六法則:自動化、自服務動態可配置網絡應用系統可自動調用自動化自動化生成數據監控Each tool in the continuo

7、us delivery pipeline includes tracking and loggingAbility to know exactly who(attackers,developers,I&O pros,S&R pros,users)performed what change and whenProtect IP and flag potential insider threat automatically without ruining the collaborationSource:“DevOps Makes Modern Service Delivery Modern”and

8、“The Seven Habits Of Rugged DevOps“Forrester reports 1.Create automatic security alerts2.Flag high risk changes3.Enable proper authentication and authorization on all systems5.Define security based quality gates4.Track drift across development,testing,and production environmentsProtect IP and flag p

9、otential insider threat automaticallywithout ruining the collaborationSecurity as Code規則明確、結果準確監控模式也可以進行自動化接口可調用、自服務化第七法則:向左 shift Left經典生命周期防護SDL倒推 無點可卡 永不結束安全開發周期安全設計安全需求安全編碼安全測試立項開發發布交付代碼審核應急響應持續審核結束倒推老的模式下，最后一分鐘介入新模式下，安全植入每一個集成的周期，倒推 Source:“DevOps Makes Modern Service Delivery Modern”Forrester report.全站Shift LeftDevOps模式下安全的7條法則依靠開發看得見碎片化嵌入整個開發過程管理好軟件供應鏈自動化自服務向左ShiftLeft