實踐DevSecOps，很多人第一步就做錯了丨IDCF

來源：安全內(nèi)參

將安全性和可靠性結(jié)合

業(yè)界不少關(guān)于DevSecOps實踐的文章，大都是一些靜態(tài)代碼檢查、被動掃描器、安全框架和SDK、域名上線卡點之類的介紹，文章不約而同地避開了軟件的維護(hù)、運維階段。實踐DevSecOps的第一個誤區(qū)，就是錯把“DevSec”當(dāng)成“DevSecOps”，忽視Ops階段僅將安全左移是一件簡單的事，但不是正確的事。

筆者認(rèn)為是時候談?wù)劙踩涂煽康娜诤狭?，該領(lǐng)域是未來5到10年DevSecOps行業(yè)的主戰(zhàn)場，而國內(nèi)阿里、騰訊早已經(jīng)在布局這方面的人員和技術(shù)積累。

錯把“DevSec”當(dāng)成“DevSecOps”

折騰開發(fā)人員是安全團(tuán)隊的一項傳統(tǒng)技能，安全的偏見認(rèn)為運維就是做申請機(jī)器，打補(bǔ)丁的事情，其實現(xiàn)在SRE的角色已經(jīng)完全不同，雖然折騰SRE總是沒人愿意去做，但是我們不能妥協(xié)，工作哪能不嚴(yán)格呢？和和氣氣怎么能把工作搞好，變革是需要付出代價的。

只關(guān)注dev的sec，不關(guān)注ops階段的sec，主要體現(xiàn)在四個方面：

建設(shè)的思路受限于過去的經(jīng)驗。對于云原生項目、微服務(wù)、大數(shù)據(jù)、SaaS的項目，僅通過安全團(tuán)隊的web、移動應(yīng)用安全審查，并說“安全審核通過，可以上線發(fā)布了”是不夠的，談到應(yīng)用安全其實是指狹義的研發(fā)安全，好像以為主機(jī)系統(tǒng)安全、部署安全、運維安全、基礎(chǔ)設(shè)施安全領(lǐng)域和自己沒有什么關(guān)系，安全的手不能伸得太長，可是現(xiàn)在未來是“基礎(chǔ)設(shè)施即服務(wù)”（IaaS）、”配置即服務(wù)“的趨勢，不能僅僅關(guān)注代碼維度了，要關(guān)注產(chǎn)品的全部生命周期。

選擇做當(dāng)前的事，不著眼于長遠(yuǎn)。當(dāng)前的問題是僅在需求、設(shè)計和開發(fā)實施的階段考慮安全性，對于業(yè)務(wù)視角來說，安全本身就是一個正在進(jìn)行的項目，而這項工作隨著企業(yè)軟硬件的發(fā)展永遠(yuǎn)不會完成。我們總是可以做些事情來減少未來漏洞帶來的風(fēng)險和影響。

ROI不高。關(guān)注成熟度從80%到90%演變，而不是0到80%。我們總是以為公司的安全隱患是研發(fā)人員寫的代碼引入的，實際對于一次全鏈路攻擊，利用代碼安全漏洞僅僅是入口邊界，提權(quán)、抓hash、未授權(quán)等橫向滲透后果其實和開發(fā)人員沒什么關(guān)系?，F(xiàn)在能力大都集中在主要是防入侵而已，防范刪庫跑路不少公司是做不到的?；撕艽缶θプ鲩L尾工作的掃描、修漏洞、告警能力，安全投資的回報已經(jīng)不足，為什么不真實關(guān)注建設(shè)的短板呢？

忽略人的因素。是人就會犯錯誤，我們只能縮減問題發(fā)生的影響，永遠(yuǎn)不能完全解決問題。除了關(guān)注技術(shù)和流程，人的Operation因素是影響DevOps效果的最大變量。

ESG對北美對私營和公共部門的IT和網(wǎng)絡(luò)安全專業(yè)人員進(jìn)行的調(diào)研顯示，48%的組織故意將易受攻擊的代碼推送到產(chǎn)品中，說明工具流程雖然能檢出，但是人卻主動忽略放行。 

還有個最近的例子，我們能否真正解決”刪庫跑路“問題？字節(jié)最近通過”傳字節(jié)跳動實習(xí)生刪庫，公司通報為重要事故“事件回答：不能。

Secure Your Ops

DataOps、MLOps 和AIOps，可以統(tǒng)稱為Operations（Ops\運維）階段。站點可靠性工程的概念由 Google 工程團(tuán)隊的 Ben Treynor Sloss 第一個提出。SRE 可以幫助團(tuán)隊在發(fā)布新功能和確保用戶可靠性之間找到平衡?？煽啃院桶踩圆豢煞指?，沒有安全性何談可靠性，沒有可靠性就沒有可用性。SRE(或者是DevOps工程師)關(guān)注的穩(wěn)定性和安全所關(guān)注的安全性問題，在解決思路策略、技術(shù)實現(xiàn)、對人的要求都是一致的，但現(xiàn)狀是安全和SRE的溝通協(xié)作還遠(yuǎn)遠(yuǎn)不夠。

我們永遠(yuǎn)無法理解我們自己的系統(tǒng)，安全還沒理解這個道理，總是喜歡規(guī)范統(tǒng)一，現(xiàn)在我們構(gòu)建的分布式關(guān)鍵系統(tǒng)變得如此復(fù)雜，以至于沒有誰能夠說明其整個運行本質(zhì)。系統(tǒng)不安全是常態(tài)，應(yīng)急響應(yīng)流程存在不足是常態(tài)，防微杜漸、嚴(yán)防死守的觀念已經(jīng)不適應(yīng)現(xiàn)在行業(yè)發(fā)展，動態(tài)的安全就需要關(guān)注Ops領(lǐng)域。業(yè)界已經(jīng)有一些實踐作用于安全和可靠性領(lǐng)域。

安全混沌工程-Security Chaos Engineering

紅藍(lán)對抗方式是一種偏向傳統(tǒng)的思維，顯而易見其不足之處在于：一、攻擊者總是能發(fā)現(xiàn)缺陷，藍(lán)隊總是能收到告警，說不清到底有多少工作要做；二、雖然少數(shù)優(yōu)秀的執(zhí)行團(tuán)隊可以做到以周、月度為周期演練，頻度仍然嚴(yán)重不足；三、不透明、不可重復(fù)實驗、過程不可控，缺少持續(xù)的反饋。如果說紅藍(lán)對抗的定位是“發(fā)現(xiàn)建設(shè)存在哪些問題”，安全混沌工程則關(guān)注“建設(shè)這些問題的優(yōu)先級”。

當(dāng)我們面臨一個復(fù)雜規(guī)模的業(yè)務(wù)系統(tǒng)時，出現(xiàn)安全漏洞幾乎是必然事件，沒有安全問題是偶然現(xiàn)象。不管你花多少精力進(jìn)行漏洞修復(fù)，出現(xiàn)0day幾乎是必然事件；不管你組織多少安全培訓(xùn)，員工點擊釣魚系統(tǒng)幾乎是必然事件；不管你做多少風(fēng)險感知能力，入侵行為發(fā)生快于阻斷是必然事件。

根據(jù)《IBM Security 2020 Cost of a Data Breach Report 》52%的數(shù)據(jù)泄露是因為惡意代碼攻擊，23%的原因是人的犯錯，25%的原因是系統(tǒng)故障。安全混沌工程通過觀測應(yīng)急響應(yīng)、安全控制措施驗、基線監(jiān)控、風(fēng)險發(fā)現(xiàn)等技術(shù)手段解決后兩類問題，占比共達(dá)到48%！

將安全視為故障需要運維和安全共同進(jìn)行改善，安全混沌工程通過快速檢測服務(wù)是否健壯、安全、有足夠的韌性、能否容忍意外的安全事件來提高企業(yè)安全架構(gòu)的實用性。

韌性-Resilience

發(fā)生安全事件的第一步應(yīng)該做什么？恢復(fù)業(yè)務(wù)正常運行進(jìn)行止損。組織需要建立面對性能和安全威脅時，有效保持系統(tǒng)彈性和恢復(fù)的能力。今年RSAC大會探討的韌性其實已經(jīng)超越了安全的范疇，是踏踏實實的軟件工程。韌性要求安全工作不僅僅重視拿結(jié)果，也重視過程階段的成熟，引入了控制降級、冗余、彈性設(shè)計、隔離、自動緩解和恢復(fù)的概念。

Zero Touch

惡意用戶（或者攻擊者）嘗試破壞系統(tǒng)、中斷系統(tǒng)來影響服務(wù)可用性，我們必須將”人的因素“裝在”籠子“里。想象一下，一位研發(fā)人員通過配置管理下發(fā)了一個錯誤的配置引起了軟件變更，但是這個時候是不是繞過了code review和代碼掃描？

Zero Touch通過審核每一次變更必須通過自動化、軟件校驗風(fēng)險因子、可審計的備用措施來實現(xiàn)”提高生產(chǎn)安全性、避免中斷“，被背后代表著需要落地大量安全原則，比如最小權(quán)限、前置安全檢查策略、安全代理、審核、關(guān)注人和機(jī)器之間、機(jī)器和機(jī)器之間的交互。這方面需要建設(shè)工具鏈很多，安全的前景很大。

對待安全的觀念需要立刻改變

筆者從不相信DevSecOps，指導(dǎo)所在領(lǐng)域建設(shè)的思路只有基礎(chǔ)設(shè)施強(qiáng)制安全和極致自動化兩個概念，DevSecOps這個名詞的作用僅僅是說服合作伙伴達(dá)成協(xié)作而已：）

不要去保證100% 安全性，而是針對安全故障做好計劃并妥善應(yīng)對，現(xiàn)在開始關(guān)注Ops安全，立即行動起來吧！

參考資料

https://www.researchgate.net/publication/335922038_Security_Chaos_Engineering_for_Cloud_Services

https://www.freebuf.com/articles/security-management/275605.html

https://security.tencent.com/index.php/blog/msg/150

超級工程師實戰(zhàn)營第七模塊【安全模塊】邀請到華為云SDL專家&DevSecOps專家 劉皓老師帶來3小時大時段課程分享，主題是《DevSecOps安全實戰(zhàn)》

7月5日（周二）和7月6日（周三）晚上19:30-21:00，線上直播，掃碼立即報名，精彩內(nèi)容，不容錯過