首頁 > 
雷鋒網(wǎng)按:基礎(chǔ)設(shè)施即代碼(IaC)將成為本文重點討論的對象,它的出現(xiàn),源自云原生時代不僅是開發(fā)者體驗的核心,也是補齊云原生體系的最后一塊版圖。
近年來,DevOps 在云原生領(lǐng)域越來越朝著自動化方向演進(jìn)。基礎(chǔ)設(shè)施即代碼(IaC)現(xiàn)在通常用于啟動服務(wù)器、自動配置、設(shè)置存儲和跨服務(wù)應(yīng)用標(biāo)準(zhǔn)網(wǎng)絡(luò)功能。使用新的工具和能力來簡化整個應(yīng)用程序生命周期的操作,開發(fā)團(tuán)隊顯著提高了其部署的敏捷性。
但是,在這種新范式中,誰對安全負(fù)責(zé)?更多的工具提升了開發(fā)人員全周期的所有權(quán)。然而,應(yīng)用開發(fā)人員有很多事情要負(fù)責(zé)。此外,他們沒有一個完整的窗口來了解細(xì)粒度的漏洞、以及每天出現(xiàn)大量新的合規(guī)性要求。IT 安全工程師通常不了解不擴展的 DevOps 工具連續(xù)體的復(fù)雜性。如果沒有更好地協(xié)作,強大的云原生命令可能會失控,需要修復(fù)。
Oak9 的聯(lián)合創(chuàng)始人兼 CPO Om Vyas 在最近的采訪中,談?wù)摿怂麄儓F(tuán)隊如何應(yīng)對云原生部署環(huán)境下安全性的問題。按照他的說法,安全需要為 IaC 采用與 DevOps 相同的自動化策略。
云原生中的 IaC 問題
十年前的軟件交付方式與如今大有不同。部門之間往往是孤立的,IT 和運營部門只能管理本地部署的硬件。這使得工程師能夠使用防火墻鎖定一切以控制運行時環(huán)境。同時,IT 可以更直接地控制訪問、網(wǎng)絡(luò)策略、數(shù)據(jù)流和通信邊界。
快進(jìn)到如今的云原生架構(gòu),工程師擁有觸手可及的巨大能力。開發(fā)人員可以通過使用 Terraform 立即啟動像 EC2 這樣的實例,用編輯器管理 Kubernetes 上的計算集群,調(diào)用無服務(wù)或其他各種功能。在引入新功能時,如果基礎(chǔ)設(shè)施自動化正在改變現(xiàn)有架構(gòu),那么安全實施是什么?
保護(hù) IaC 的一般方法
AWS、Azure 和 GCP 使啟動存儲、計算和網(wǎng)絡(luò)資源變得非常容易,但是前提是建立在不考慮 IaC 的安全影響對開發(fā)團(tuán)隊再次造成困擾的可能性。例如,混淆彈性負(fù)載均衡器之間的細(xì)微差別可能會暴露敏感數(shù)據(jù)。當(dāng)然,一些組織正在構(gòu)建適當(dāng)?shù)?IaC 抽象和模塊。要做到這一點,必須要對文化轉(zhuǎn)變、可觀測性和全周期發(fā)展進(jìn)行思考。
文化轉(zhuǎn)變
與大多數(shù) IT 變革一樣,提高安全性首先需要進(jìn)行文化轉(zhuǎn)變。技術(shù)是次要的,擁抱文化轉(zhuǎn)變需要增加程序員、DevOps、SRE 和安全專業(yè)人員之間的協(xié)作,以決定自主的領(lǐng)域。
文化轉(zhuǎn)變可能包括重新調(diào)整部署流程,或決定何時讓安全團(tuán)隊參與新功能的發(fā)布。它還可以包括制定新的代碼分析工具和工作流程標(biāo)準(zhǔn)化。
可觀測性
如果從根本上改變了應(yīng)用程序的架構(gòu),那么團(tuán)隊需要知道哪些安全領(lǐng)域受到了影響。一個棘手的部分是在不增加開發(fā)人員工作流程的情況下,添加更多安全檢查點,關(guān)鍵就在于實現(xiàn)自動化。
全周期開發(fā)
開發(fā)人員繼續(xù)圍繞代碼庫承擔(dān)延長生命周期的責(zé)任,有人稱這種趨勢為全周期發(fā)展。在應(yīng)用生命周期內(nèi),為開發(fā)人員提供自主權(quán)確實會帶來生產(chǎn)力優(yōu)勢。它可以減少對外部批準(zhǔn)的需求并實現(xiàn)更快的軟件更改。
但是,這種自主權(quán)并不意味著其他人不參與安全過程。安全的責(zé)任不應(yīng)該僅僅在于開發(fā)人員和 SRE 團(tuán)隊,安全是整個組織的共同責(zé)任。
安全和 IaC 的未來
對于改變底層架構(gòu)的新功能,團(tuán)隊需要提前了解潛在的安全影響和風(fēng)險因素。例如,在添加分析儀表板時,如何知道無服務(wù)功能具有對數(shù)據(jù)庫的正確訪問級別?是公開的嗎?是靜態(tài)加密的嗎?有適當(dāng)?shù)拿荑€管理系統(tǒng)嗎?如何確保每次更改都不會產(chǎn)生額外風(fēng)險?
圍繞這些因素提高安全意識并不是可以馬虎的事情。與 DevOps 的實踐類似,采用安全思維往往在最后一環(huán)才能感受其帶來的巨大收益。此外,隨著多云采用率的提高,如果企業(yè)想要在所有軟件部門應(yīng)用與云無關(guān)的一致保護(hù),則需要實時響應(yīng)自身的安全理念。
最后再提一點,隨著這種基礎(chǔ)設(shè)施自動化的持續(xù)演進(jìn),預(yù)計未來很快還會從 IaC 轉(zhuǎn)向更多低代碼 / 無代碼的能力,這通常稱為 ClickOps。而有可能將是未來新的發(fā)展方向。
(雷鋒網(wǎng)編譯)雷鋒網(wǎng)雷鋒網(wǎng)
