為什麼數字證書對您的 DevOps 團隊如此重要

已發表: 2020-10-02

組織越來越多地將 DevOps 集成到他們的應用程序開發過程中。 根據 Amazon Web Services (AWS) 的說法,DevOps 對組織有很大的希望,因為它有可能提高部署新應用程序和服務的速度和能力。 它通過讓開發和運營團隊在整個應用程序生命週期中協同工作來實現這一點。 (安全團隊也可能參與到稱為 DevSecOps 的流程中。)開發和運營人員一起使用擴展的技術堆棧和工具來自動化他們傳統上手動完成的流程。

不用說,組織可以通過採用 DevOps 模型獲得許多好處。 如果讓開發人員、運營人員、安全專業人員甚至是質量保證部門的人員束手無策,他們不一定知道阻礙項目按時完成的障礙。 那是因為這些小組為作業添加了一些不同的東西。 正如 Digital.ai 所指出的,他們不一定從對新應用程序的業務環境或價值的相同理解來處理他們的工作。 因此,這些團隊甚至可能有相反的目標,這可能會阻礙項目並導致內訌。

數字證書:DevOps 跟上安全步伐的挑戰

組織希望在 DevOps 模型下充分利用將不同團隊集成在一起的功能。 承認這一事實,DevOps 作為一種思維方式不斷變化以適應不斷發展的技術環境也就不足為奇了。 因此,DevOps 必須跟上信息安全領域的步伐。

Akamai 的高級產品經理 Sid Phadkar 向TechRepublic明確了這一點:

隨著美國和全球數據洩露事件數量的增加以及對數據隱私法規(如 PSD2 和 GDPR)的日益重視,精通 DevOps 的組織將被迫在未來一年將安全措施的盡職調查列為優先事項。 隨著新法規的實施,將要求更多的應用程序開發人員直接在代碼中構建嚴格的安全策略。 DevOps 工具將會增加,以滿足信息安全團隊中更多與合規相關的任務的自動化,從而將安全和合規措施納入日常 CI 工作流程。

問題在於,將 DevOps 與安全性結合起來並不總是那麼容易。 事實上,Keyfactor 指出,由於上述衝突,許多組織難以圍繞 DevOps 實施一致的安全策略。 良好的安全實踐通常與新應用程序或服務的及時交付有關。 因此,如果沒有合適的工具來支持 DevOps,安全人員就無法以需要支持的方式支持開發人員。 因此,開發人員將更傾向於抵制新的安全實踐,並尋找不合規的替代方案來替代減緩它們的新流程。

這些挑戰是證書生命週期管理特別關注的問題。 組織需要使用 PKI 通過代碼簽名或創建證書來保護 DevOps 生命週期。 但正如 AppViewX 所指出的,這種 PKI 的實現通常會受到證書生命週期的可見性差以及與證書頒發機構的通信不一致的影響。

傳統的 DevOps 管道通常也依賴手動請求來獲取可信證書。 這些類型的請求破壞了軟件開發生命週期的敏捷性。 大多數容器都不會運行很長時間,因此如果這些請求需要幾天才能完成,那麼除非組織放慢應用程序的交付速度,否則生成的數字證書實際上將毫無用處。 這種活力也使 DevOps 難以自行管理和監控這些證書。 因此,團隊成員可以尋找捷徑、訴諸臨時流程或購買使用多種加密標準的證書——這些變化會增加組織的安全風險。

這些擔憂不僅會引起行業分析師的共鳴。 DevOps 專業人士也共享它們。 在 2019 年的一項調查中,74% 的 DevOps 專業人士告訴 Venafi,他們擔心頒發證書可能會減緩開發速度。 超過三分之一 (39%) 的開發人員表示他們應該能夠規避這些政策以滿足他們的服務水平協議,而不到一半 (48%) 的受訪者表示他們認為他們組織中的開發人員總是通過渠道請求證書和安全團隊批准的方法。

DevOps 團隊如何最好地處理他們的證書

為應對上述挑戰,DevOps 團隊可以通過自動化證書管理流程來最好地處理他們的證書。 正如 DevOps.com 所指出的,Kubernetes 等編排工具通過 ACME 協議支持證書管理。 Kubernetes 將私鑰存儲在 Kubernetes Secret 或 Hashicorp Vault 中,從而為證書管理系統提供無縫集成。 DevOps 團隊還可以使用私有 CA 對其容器進行數字簽名,以幫助驗證給定容器,因為它通過 TLS 連接進行通信。

除了自動化之外,DevOps 還需要提高其證書的可見性以避免不必要的中斷。 團隊成員需要能夠在證書過期之前更新證書並解決不正確的配置以確保關鍵服務保持正常運行。 TechBeacon指出,DevOps 應該使用稱為“配方”的 API 驅動的自動化集合來編排涉及密鑰和證書的流程,以嘗試平衡敏捷性和安全性。

對此有什麼想法嗎? 在下面的評論中讓我們知道,或者將討論帶到我們的 Twitter 或 Facebook。

編輯推薦:

  • 如何在 DevOps 中實現持續測試?
  • AWS DevOps 工程師正在大放異彩 – 用這個 30 美元的課程包開始你的職業生涯
  • DevOps 如何保護客戶數據
  • DevOps 如何改變軟件開發

編者註: David Bisson 是一名信息安全作家和安全迷。 他是 IBM Security Intelligence 和 Tripwire 的 The State of Security 博客的特約編輯,也是 Bora 的特約作家。 他還定期為 Zix 和數字安全領域的許多其他公司製作書面內容。