诸子笔会 | 赵锐：安全自动化之DevSecOps落地实践

Original 赵锐安在 2022-07-04

自2021年6月起，安在征文全新“改版”——“诸子笔会，打卡征文”。简单来说，我们在诸子云社群招募“志愿者”，组成“笔友群”，自拟每月主题，互相督促彼此激励，完成每月一篇原创，在诸子云知识星球做主题相关每日打卡，同时邀请专业作者群内分享，互通交流。我们的目标，不仅是在持续8个月时间里，赢取累计8.8万的高额奖金，更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文，即诸子笔会月度主题来稿之一。

安全自动化之DevSecOps落地实践

文 | 赵锐

赵锐

某跨国企业

网络空间安全和合规负责人

诸子云上海会长，历任多家金融机构、世界 500 强企业的安全负责人、安全专家，民革党员。近20 年资深科技风险、信息安全、业务安全经验。

安全自动化的内容包罗万象，和软件生命周期相关的DevSecOps是可以入手并体现安全自动化提升能效的方式。但很多组织在实施DevSecOps时，往往只关注其中的Dev和Sec，没有关注最后的Ops，未达到整体而全面的DevSecOps。

DevOps

Dev和Ops是IT内部两个不同职能团队，分别是负责编写软件的开发人员和负责运行维护软件、部署管理基础设施的运营人员。实现DevOps并不是简单合并两个团队，其中的内容纷繁复杂，但在DevOps中业务团队和产品经理会是推动方，特别是面向个人客户的组织，为了比竞争对手更快更好地提升客户体验，就需要不断迭代更新产品，实现持续集成（CI）、持续交付（CD）。这个过程中会建立从CI扩展到CD再到构建、测试、交付的流水线，以及后续运行的应用程序和运行应用程序环境的基础设施。建议阅读《DevOps实践指南（DevOps Handbook）》进一步加深了解。

DevSecOps

2012年，Gartner介绍了DevSecOps的概念（最初使用“DevOpsSec”）。DevSecOps，“它是糅合了开发、安全及运营理念以创建解决方案的全新方法”。Gartner的报告《How to integrate security into DevOps》中介绍“信息安全框架必须整合到DevOps的工作流程中，信息安全对于开发和运维的工程师来说必须大部分是“透明无感知”的，这样才能保证DevOps的开发和运维的敏捷和效率。”《DevOps实践指南（DevOps Handbook）》中写到：DevOps不仅仅达到开发(Dev)和运维(Ops)的目标，同时持续实现信息安全 (Info Sec）目标，保证服务和数据的可用性、机密性、完整性。

从2015年开始，RSA大会（RSA Conference）上开始有DevSecOps议题，2016年RSA大会上DevSecOps成了热门词汇，2017年开始RSA大会里还专门设置DevSecOps Day，足以见得DevSecOps的火热程度和业界对它的重视。

DevSecOps落地实践

实施前的准备

了解目前组织的成熟度情况，主要关于人、流程和技术。

人

在建立“人人都为安全负责”的文化时，还要认清客户。对于IT团队来说，客户是业务部门。在IT团队内部，安全团队的客户包括：产品团队、开发团队、运营团队，安全团队要考虑如何在控制安全风险的情况下，减少对产品团队和开发团队速度的影响。

流程

很多组织内的开发团队，可能先后分别经历过瀑布模型、软件生命周期、DevOps等几种开发过程，并且在此过程中已经建立并积累了一些流程，要尽量复用DevOps流程，并将安全嵌入其中。

技术

使用DevSecOps生成新应用程序和服务时的安全要求不会比过去低，原来已经采用的技术工具，也尽量复用，有些可能暂时无法集成到DevSecOps中，可以采用部分手动再替换成可以集成到DevSecOps的版本。

受人关注的Ops

本文后半部分将重点介绍很少受人关注的Ops。安全要内建于运营过程中，通过安全监控、运营安全、应急响应、运营反馈实现安全风险闭环管理。

安全监控

顾名思义，在应用运营过程中，进行监控以识别安全问题和风险。要做好安全监控，必须建立专门的安全监控机制，可以分为通用的安全监控机制和针对业务场景的安全监控机制。

同时还需要有统一的管理平台，把网络设备、安全设备、主机系统、应用程序等不同的告警收集到一起进行关联分析并进行处置。

运营安全

在运营过程中对于运营的资产通过配置管理、变更控制等方式进行安全管控，减少安全事件、安全问题对运营安全的影响。

相信很多组织里都有配置管理和变更控制的流程。在DevSecOps中，关注的是在原有手工进行控制的基础上，如何把这部分能力逐步转换成自动化的方式。例如最基础的，通过脚本进行配置加固，并采用结果回传或安全扫描工具确认配置加固的结果，上线变更前自动分析安全测试报告中的残余风险并与上线门限进行比对，实现自动审批和安全发布。

原有的而且在等保中也要求的定期漏洞扫描和渗透测试不能少。采用平台统一收集、分析日志和告警内容，根据知识库或配置的模板给出处置建议。

应急响应

收到运营过程中安全事件、安全问题后，采取响应、处置、跟踪等方式，减少事件、问题带来的影响，实现业务可用性目标。

结合安全监控阶段建立的安全监控机制，针对通用和业务场景的安全事件、安全问题建立并完善对应的知识库，实现自动响应、自动处置。同时，通过仪表板展示安全事件的响应、处置、跟踪情况，并对某一类或几类以及某一时间段的情况进行汇总分析。

运营反馈

运营反馈是DevSecOps形成完整闭环的关键，通过运营反馈，可以把安全事件、安全漏洞、缺陷等信息向“左”进行反馈，让产品团队、开发团队甚至是业务部门一起来完善应用程序或业务流程，并通过自动化的平台对反馈情况进行跟踪、催办，实现闭环管理。

这一部分一方面可以从事件、问题的数据，以及反馈后的处置结果来确认应用程序或业务流程的安全质量情况，并为完善DevSecOps中前序阶段提供数据来源。

希望本文可以帮助大家更好地落地DevSecOps。另，欢迎大家找我单独讨论，如果要在其他文章、会议材料中引用上述内容，请注明“来源：锐少”。

锐少 2021年7月

推荐阅读

诸子笔会 | 7月征文主题《安全自动化》

诸子笔会 | 张永宏：安全自动化的鸿沟跨越