安全如何为DevOps增加价值

屡获殊荣的企业家,安全公司Tripwire的创始人兼创始人Gene Kim向我们展示了他的愿景。

尽管云计算和敏捷开发与管理流程动摇了传统IT部门的基础,但重要的是组织必须安全地接受这些准则。考虑到这一点,我们最近与屡获殊荣的企业家,安全公司Tripwire的研究员,创始人兼首席技术官Gene Kim坐了下来。 Kim还是《 Visible Ops》和《 Visible Ops 安全》一书的合著者,这两个书将组织机构如何使IT从“好”变为“好”。在这次采访中,我们重点介绍了 向DevOps IT组织添加Rugged开发原则. 公民社会组织online:您所说的“坚固” DevOps是什么意思?

Kim:有一个名为DevOps的动作正在进行中,它始于2009年的Velocity会议,当时Flickr的VP登台,并说:“我们通常每天进行10次部署。”当时的现状是9个月的周期或每年的周期-甚至是每月的周期-这些人基本上说:“我们通过分解部署速度比以前考虑的要快1000倍。 IT组织中的孤岛变成了DevOps。”想一想您每天可以部署10次功能,而您的竞争对手每月只能部署一次,甚至一年只能部署一次的商业价值。您具有巨大的固有竞争优势。

因此,从那时起,世界变得越来越快。实际上,亚马逊已经记录在案,称他们现在每天要进行1000次部署。因此,DevOps和云正在发生的事情令人叹为观止。那对我来说是个神圣的时刻。云不只是外包,它与众不同之处在于,您可以实现无所不能。他们只是关闭数据中心。这只是IT的一种截然不同的形式。

RSA 2012的更多内容:

公民社会组织online:这对IT安全从业人员意味着什么?

Kim:对于习惯于在一个月或两周内进行安全审查的安全人员来说,问题在于他们只是被赶出了游戏。当前如何配置infosec使其无法跟上潮流。因此,infosec遭受了所有关于被边缘化和妨碍做需要完成的事情的抱怨。

在2012年RSA会议上,我们宣讲了“ Rugged DevOps”。但是,让我们退后一会。我一直在写一本名为《 The DevOps Cookbook》的书,介绍如何进行这些类型的转换。我们在这里建议的是-我们不仅要整理Dev和Ops的共同努力以获得这些令人难以置信的结果-而且infosec在其中的作用是什么?他们在哪里为开发,运营,质量保证,项目管理,产品管理增加价值?他们在哪里帮助保护代码和可以依赖的稳定,安全,耐用和可扩展的环境?因此,我们只是将安全性转变为开发人员和运营人员应共同努力的一项素质。这确实改变了对开发和运营如此根本的工作方式,以至于最大的受益者之一就是安全性,因为现在,如果我们能够弄清楚如何使测试自动化,我们实际上可以将所有测试集成到开发过程中。我们可以帮助操作人员强化环境,以便将代码部署到其中(不仅限于Dev),而且不必等待安全性花一个月的时间来审查代码。

有了Rugged DevOps,安全性不必等待开发人员或操作人员,他们也不必等待9个月才能发布下一个版本,从而可以将修补程序或快速修补程序投入生产。这意味着组织解决安全问题的能力要快得多。

公民社会组织online:组织如何确保安全性-确实有阻碍的历史-仍然集成到流程中?

金:我们经历了我们认为安全必须做的规定性步骤。他们必须弄清楚-为了使DevOps得以开展-他们还需要与哪些其他利益相关者合作才能获得席位?他们如何解释他们为开发人员提供的价值?他们可以解释如何进行一系列自动化测试,并将其纳入持续集成和发布过程。这将质量和安全性纳入组织的流程中。或者这是我们可以用来帮助您保护环境的自动化脚本。要发布经理:这是可以添加到清单中的清单,以确保发布过程产生正确的结果。对于运营:您可以在质量检查中内置以下工具,以确保运营部门稳定,安全且可操作。

所以,那肯定是一回事;了解他们的目的,我们可以带给他们的价值。然后,我们完成了DevOps转换的步骤。例如,一直发生的事情之一(安全性简而言之就是安全性)是在DevOps中,开发人员在计划表中花费了所有时间,没有时间进行操作,更不用说安全。 DevOps组织不同地做的一件事是,Dev人员和Ops在最早的冲刺阶段,最早的周期内一起工作,因此在敏捷过程中,典型的想法是在每个冲刺结束的两周时间间隔内-您可以拥有可交付的代码。

公民社会组织online:这样足以使安全性得到适当审查吗?

Kim:您对此进行了更改,以便不仅拥有可交付的代码,而且还拥有将代码部署到的可交付环境,数据库,操作系统和网络环境。因此,您需要在周期的早期进行这些工作,然后再帮助您集成一个步骤的自动化构建,以便同时构建生产环境,QA环境和Dev环境。因此,您实际上是在创建这种令人难以置信的功能,从而使开发人员,每个人的生活更加轻松。在那儿,安全人员也将在早期阶段进行工作,以构建环境和代码,以便您不会将工作推迟到最后,因为我们都知道项目往往会结束并且您永远都无法完成工作。保护您的环境。现在首先要完成安全性。

公民社会组织online:一切都是迭代的。没完没了吧?

金:这是一个很好的观点。那么,您如何确保在早期阶段至少要检查一些项目,并为其他利益相关者提供价值?这样,您想要做的实践就融入了流程吗?现在,该过程可以是:这是我们将要处理的三个功能以及安全要求,并且这些功能已安排到日常工作中,这样季度评估(您在这些评估中所发现的)就基本上可以用于在构建功能的同时工作脚本。您已达成共识,Dev不能仅用完所有功能。您知道,所有这些非功能性要求都是为了确保运行稳定性和站点安全性。它在同一时间不断地工作。

公民社会组织online:它可以在技术公司或云公司之外工作吗?我们看到了采用这些方法的所有示例,并且它们往往是组织中具有技术的组织。

金:所以问题是人们如何成功地将其整合到日常工作中?我绝对会说他们有。我将以Netflix为例说明其工作方式。当您查看DevOps运动的部首时,他们说的不是DevOps,而是Dev-Ops。这是开发人员和运营人员之间的每个人:质量保证,信息安全-这是我说“嘿,这是我们的部落”的绝佳时刻。

它确实适用于许多类型的组织。实际上,它在政府组织中有效。我正在进行一些案例研究,因为人们会说:“嘿,我们不是Amazon,我们不需要这样做,对。我们坚持旧的方式。”我认为,在您拥有大量IT工作的任何地方,有上市时间的压力以及需要向企业展示价值并同时提供稳定,安全的服务的地方,这都是有意义的。我想,这意味着每个人。

乔治·赫尔姆在他位于明尼阿波利斯的家中撰写有关安全性和技术的文章。您还可以在Twitter @georgevhulme上找到他关于这些主题的推文。

版权© 2012 IDG通讯,Inc.