转载

开发云安全Rugged DevOps方法的十大方法

没有任何一种道路可以通向适用于每一个组织的Rugged DevOps方法，但是DevOps精英却使用了使他们具有明显的优势的关键原则和技术。你可以使用下面的十种方法革新组织的各种流程和行为使你在云中的安全操作取得巨大的效率。

了解你对攻击者的价值

想要了解你的组织，产品或用户是如何被攻击的，最好的方法是明确你所拥有的有价值资产。你的一项业务是否有成百上千万的访问量/密码？你是否有信用卡号码，验证码和账单地址？攻击者想要偷走他们可以转化为货币化的东西—你需要了解你的组织对攻击者的价值是什么，以便更好地了解他们的目标，更好地保卫自身。

攻击自己

一旦你了解了袭击者追求的战利品，你就能更好地识别和模拟他们在真实的违法活动中尝试采取的攻击矢量和路径。使用这些路径，在你自己的基础设施中进行战争游戏以便彻底识别哪些安全控制措施奏效，哪些措施没有效果，根据你的发现记录你应该落实的新的安全举措。你可以聘请像Accuvant这样的专业公司代表你执行这样的安全演练。你可以约定参与这样的演练，经常紧跟演练成果，以便更好地装备自身，在将来更好地进行自己的演练。

确定你的Rugged盟友

Rugged DevOps不是只靠一个人的努力就能够实现的—你需要组建一个拥有分享愿景的团队。在你的公司所有者，工程师，运作团队和其他关键利益相关者和有思想的人中找到你的盟友。这些Rugged盟友将会是你的方法的生命线—他们在方向，产品性能，业务管理等方面拥有端到端的决策。通过将自己和这些关键的参与者对齐，你们可以共同努力明确战场。

明确战场

几乎没有组织在每一个可用的云区域运转。更可能的是你的组织有一些精选的用于交付商品和服务的区域或位置—你可以轻松地说明这背后的逻辑。一旦你可以描述，用浅显的英语，你对环境的预期和定义，你就可以用代码将它们编辑成安全规则。这些规则描述你在云中遵循的使用模型—部署窗口，使用的资源类型，使用身份配置和地区偏好。了解了这些是如何定义和配置的，就能创建简单的测试案例来验证你的安全形势和状态。

自动操作安全验收测试

组织面临的最大挑战之一就是进入DevOps驱动的持续的部署实践中。基础实施的快速创建和修改使大部分传统的安全工具变得无效，或者至少在性能方面变得特别有限。DevOps团队偏爱A/B（红/蓝）部署环境，但对每一个参与者而言，在功能测试通过后将一个脆弱的构建推入到生产中是一个尴尬的时刻。将你的安全验收测试，关键安全举措的子集，放入功能测试过程的末端。如果你将自动化安全验证添加到自动化功能测试中，你可以以极大的信心和更快的速度推进构建进程。

包含持续安全

安全不应再被当做发行过程中单独的一步—相反，安全需要被集成到全部的开发和部署过程中。随着组织更加深入地进入到持续的开发和部署模式，实施连续的安全行为的重要性变成无可商榷的问题。在部署，自动伸缩事件和自然成长过程中，你的云环境经历了巨大的变化。上个时代的静态数据中心环境如此简单以至于可以手工评估，但是云环境的活力却是太快太复杂，以致于人们无法有效地消化吸收。你的操作工具进行持续的监控和报警—为什么你的安全套件不是这样呢？

投资具有API的安全解决方案

在谈论持续安全这一话题时，确保你正在评估和投资在DevOps环境中有效的安全解决方案。这新一代的安全产品天然地提供现在预期的用户体验—一个UI（用户界面），一个RESTful （Representation State Transfer）API和一个SDK（软件开发工具包），你可以使用SDK来为你的环境扩展或构建自定义需求。想想在DevOps工具链内集成安全解决方案所能带来的强大性能：后部署可能使构建通过测试或使构建测试失败的自动化安全扫描。重新配置已部署资源到已知的良好状态，等等。如果你采用一个好的产品，使之成为组织独特战略的一部分，那你将会无所不能。

实施告警

启动API，拥有持续的安全工具，你现在可以像其他任何操作事件一样实施安全告警了。服务器故障了？你的DevOps团队可以在瞬间进行响应。Apache的一个脆弱版本部署在新的web服务器了？现在你的团队是如何发现并做出响应的呢？

不必害怕—持续的安全解决方案不仅会提醒你这类问题，它们还会紧密地集成到PagerDuty这样的DevOps支柱中去，甚至通过原始的JSON输出自定义仪表盘。现在一有安全问题出现，你的团队就会被通知到，也可以访问他们需要的所有数据去解决这一问题，而无需等待备份。攻击者根本没有攻击的机会。

将防御措施分层

Layering automated security testing, continuous security assessments, rapid operational responses, and other key aspects discussed here put you in a great position to augment your existing and planned security efforts. Now that third-party penetration test will be more valuable because it delivers on deeper security issues and not the threats you can manage yourself.正如任何一种好的安全策略一样，你需要将你的防御措施分层来创建一种有力的安全形势。将自动化安全测试分层，持续安全评估，快速的操作响应和这里讨论的其他关键方面使你处于一个很好的位置来增加你现有的和计划的安全努力。第三方渗透测试将会更有价值因为它解决更深层次的安全问题，而不是你可以自己解决的威胁。

回归

Rugged DevOps旅程最终，可能也是最重要的一方面是回归到曾经启发和促进这一旅程的群体。在这一群体中我们都作为技术人员，给予这一更加广泛的Rugged DevOps群体的一点建议或指导可以很快转化成下一个伟大的工具或服务，在你的下一项工作中就可以依赖这一工具或服务。所以确保分享你的教训和见解—你的慷慨会得到回报的。

ugged DevOps不是一次性的实践或是一个孤立的过程—它是一个全新的方法和全新的运转模式。采取一种新的方式，将安全融入到日常操作中时总是伴随一些学习曲线和初始障碍—但是它所带来的好处远远多于任何初始成本。遵循这十大建议和真知灼见，你的组织将会在实现Rugged DevOps所带来的竞争优势的道理上一日千里。

原文链接： http://blog.evident.io/blog/2015/9/4/10-ways-to-develop-a-rugged-devops-approach-to-cloud-security

活动推荐： 8月18日亚马逊AWS云计算研讨会之云中的安全部署与开发运维（厦门站）

8月15日Amazon ELB让你的互联网应用轻松扩展

（翻译/吕冬梅责编/王鑫贺）

订阅“AWS中文技术社区”微信公众号，实时掌握AWS技术及产品消息！

AWS中文技术社区为广大开发者提供了一个Amazon Web Service技术交流平台 ，推送AWS最新资讯、技术视频、技术文档、精彩技术博文等相关精彩内容，更有AWS社区专家与您直接沟通交流！快加入AWS中文技术社区，更快更好的了解AWS云计算技术。

正文到此结束