云计算中的安全软件交付

许多组织都面临着新的网络安全问题，因为它们希望加速自身及其客户的数字化转型。同时，信息技术（IT）和运营部门面临着合并和创新以实现公司数字化目标的挑战。
通常，公司希望加快速度，安全团队需要保护组织，这可能会引起冲突并延缓进度。许多公司以流程，决策和经验的形式提供网络安全的方式并没有以他们自己的变更的速度，速度和速度来实现。
CISO困境首席信息安全官（CISO）有责任保护自己的公司。通常，他们通过建立经过考验的策略，标准和服务来实现这一目标，这些策略，标准和服务将成为治理模型。
这导致了一种运营模型，该模型试图平衡市场趋势，同时优先考虑风险和安全性。网络安全团队希望成为创新的推动者，而不是被视为障碍。
但是，为了促进conversion依，除了帮助他人采用注重安全的文化外，他们自己也必须converted依。云计算中的安全软件交付过去的遗留应用程序看起来与现代云原生应用程序不同。
由管理程序管理的裸机或虚拟机已组织为三层应用程序（Web服务器，Web应用程序和数据库），这已成为数十年的实践。时至今日，我们仍然可以在客户中看到这种模式，但是这种优势正在被云原生应用程序所取代。
云原生应用程序是商品化和开源竞争解决方案堆栈不断开发的结果，这些解决方案堆栈包括操作系统（Linux），云计算，软件定义的网络以及最近的容器。甚至接口方法也已经商品化（请考虑应用程序编程接口）。
术语“应用”的定义在此不作赘述。在不断发展。
现在，过去的巨石被分解为一系列微服务，这些微服务由Kubernetes（k8s）进行容器化和管理。随着体系结构和当前应用程序结构的根本变化，安全问题也在不断发展：·在云原生模型中，威慑，预防，检测和纠正措施的应用方式有所不同。
·攻击面有所不同（在过去的传统计算模型中不存在图像，名称空间和服务帐户）。 ·攻击面的数量更大（微服务固有地具有比整体服务更多的服务间通信）。
·攻击面是短暂的（零缩放和动态缩放可以暴露在定期扫描和审核之前可能已经消失的漏洞）。扩展DevOps以包括安全性在DevOps流行之前，安全团队通常会在项目后期参与评审，并在应用程序投入生产之前提供指导。
仅在开发过程结束时才考虑安全性，如果发现问题，则会导致延迟。这导致更大的修复成本。
DevOps的初衷是在生命周期的早期将两个不同的交付利益相关者聚集在一起：开发和运营。为什么要停在那里？尽早将IT安全作为第三大利益相关者，不仅可以防止生产延迟，而且可以改变对安全团队是“无人团队”的看法。
它可以将与安全的关系转变为强大的盟友。显然，就安全性而言，包容性具有积极影响。
这引起了诸如DevSecOps之类的趋势设置术语，这些术语专注于解决交付过程中的安全性。这样，安全不仅是一种趋势，而且还是负责任的企业交付的基础。
安全性是软件交付的基础。由Andrea C. Crawford和IBM Garage撰写的Modern DevOps宣言列出了一些适用于端到端安全软件交付的关键概念。
第一个主题是“一切都有代码”，它为企业内的安全性和安全性实践（映像，k8集群配置，应用程序配置甚至管道本身）的更深层实现提供了机会。编码资产将需要被确定为“受托”资产。
资源。好的候选者是在整个企业中共享的那些构造。
一个示例是将容器映像，应用程序模板，基于角色的访问控制策略和集群配置视为“受信任”。保证自己的治理和管道的资源，以及管理这些资源的定义明确的角色。
较大的公司可能会考虑将徽章和内部认证用于新角色（例如图形工程师，群集工程师，管道工程师等）。组织可以使用以下原则。