在許多企業中,建構和保護應用程式通常是一種孤立的事情。產品所有者,網路工程師,開發人員和安全工程師都來自不同的團隊,隨著敏捷和DevOps的發展越來越快,安全團隊通常缺乏對項目的預先了解,因此威脅模型評估是在事後進行的,在沒有真正理解業務開發應用程式的原因與時效,企業往往無法按時發布新應用程式,因為威脅模型評估可能需要數週或數月才能完成。
現今商業競爭環境中,App是公司與客戶資料互通存取的閘道,企業致力提供更聰明、更快速且更安全的App,加速數位化轉型。為了達到更敏捷、延展和成本效率目標,企業正將他們的App轉移到雲端。
根據Dell EMC與Vanson Bourne合作的「全球資料保護指標」研究報告指出,亞洲企業的雲端使用率從2016年佔整體IT環境27%,增加到2018年的41%,而且幾乎100%利用雲端作為資料保護策略的一部分。
事實上,F5 Networks的2019應用服務現狀報告發現,亞洲在App-first應用第一的驅動下,87%企業擁有多重雲端架構。澳洲、紐西蘭、東南亞國協、中國和印度超過90%受訪者表示使用超過一家雲端服務供應商。新加坡有57%大型企業採納雲端的計畫,更有33%預期將在未來6~12個月跟進,雲端轉移趨勢正蓬勃躍進。根據IDC 2019年的產業趨勢觀察預估,到2023年,台灣33%的超大型企業會評估開放型虛擬架構,也將有28%的大型企業採用雲端協同開發環境,此外,40%企業則會在自有機房部署原生雲端技術。
雖然雲端是本來就存在的概念,但它一直不斷地變形,使得企業往往要投入執行計畫時,才體認採納雲端的複雜度,而雲端知識與工具的欠缺,也使得企業在這些新App環境的營運管理上遭遇以下許多挑戰。
DevOps:一種新的應用部署方法
DevOps對某些人而言相當陌生,不過這種新IT方法正快速累積動能,因為它結合人員、程式與產品,持續為終端使用者提供價值。
DevOps能以更快的步調交付,推動創新並提升員工生產力、溝通與參與。亞太地區已有94%企業採納DevOps。
在許多企業中,建構和保護應用程式通常是一種孤立的事情。產品所有者、網路工程師、開發人員和安全工程師都來自不同的團隊。而且這些團隊都自覺,他們各自的「工作任務」是公司的首要關注目標。
今天,隨著敏捷和DevOps的發展越來越快,安全團隊通常缺乏對項目的預先了解,因此威脅模型評估是在事後進行的,在沒有真正理解業務開發應用程式的原因與時效,企業往往無法按時發布新應用程式,因為威脅模型評估可能需要數週或數月才能完成。
為了在程式碼開發與客戶終端價值之間建立更快速管線的結果,使得App環境風險提高,App本身成為53%資料攻擊的初始目標。因此,企業的關鍵重點必須從傳統「建置安全性以符合法規遵循」的作法,轉向以更主動的方式,在安全工具與程式內運用DevOps原則,整個安全過程必須內化融入到每一個發展階段。當然,應用程式仍需要威脅模型評估,但必須以滿足業務所有目標。
DevOps不再只是組織創新策略下由一些人員組成的團隊,而是一種新的IT方法。如果安全工具與措施未能進化,並且進行調適以舒緩風險而不造成App部署管線的遲緩,這樣快速App交付所能提供的利益才能彰顯價值。
解決之道:DevSecOps
為了充分發揮DevOps潛能,企業必須從一開始就將安全性與資料治理整合到DevOps生命週期。這就是所謂的「Shift Left」,亦即在更接近開發階段的時間點結合安全性,有別於現在僅集中在部署階段的作法,此一安全關鍵的動能就是DevSecOps,根據行業智庫MarketsandMarkets報告指出,其市場規模估計在2023年將達到59億美元。
DevSecOps的長期利益遠超過短期帶來的適應痛苦。它不僅是以無摩擦的方式制定政策,而是整個安全構建-計畫、執行、檢查、行動完全融入協作的工作方式,將整個安全思維帶入更大的跨功能容器中。企業可以將一些安全控制例如原始碼分析、軟體供應鏈控制、以及動態應用安全測試整合到開發管線之內。再者,自動化可用於提供回饋迴路,以減少應用部署程式的摩擦。這有助於快速進行不同技術的原型測試,因為那需要以一種API-driven方法維護安全控制。
一如現有的DevOps方法,DevSecOps的成功關鍵包括人員、程式與技術等三大基本要素。
人員
雖然DevSecOps是一項由技術促成的旅程,不過卻是一個由人員起始的程式。企業需要推動組織變革以破除介於開發、營運與安全團隊等傳統孤島之間的隔閡。這項改變涉及賦予跨團隊能力,以管理端對端應用生命週期。
程式
除了謹記DevSecOps的關鍵在於速度和品質之外,企業應盡可能地將人工程式予以自動化,而不犧牲網路安全需求。安全性應被視為一個貫穿開發階段的程式,而非等到應用部署後才想到要彌補。在開發階段建置威脅模型記事板(Threat-modeling Storyboards),有助於將安全性植入設計內,同時也能破除「安全性是一個導致延誤的看守者」印象。
技術
隨著DevOps的出現,以雲端為基礎的方案獲得更高採納率。為求能夠跟上現代化應用部署的步調,企業應在開發階段的更早期整合安全技術,而為了朝向「Shift Left」模式發展則應考慮整合採用自動化優先和API-driven方法的安全方案。建置一些整合在軟體交付管線內而不會減少部署時間表的技術,將可以帶來一些額外效益,包括可重複、可稽核,而且能夠在開發、營運與安全團隊成員之間建立一種共同分擔的安全責任。
為了充分發揮DevOps潛能,企業必須從一開始就將安全性與資料治理整合到DevOps生命週期。(Photo : ©Asha Sreenivas/Fotolia)
比事後彌補更能減少威脅暴露
資料外洩與攻擊事件的數量沒有減少的跡象。隨著攻擊本質變得更趨自動化和分散,企業可以採納一些新的方法以降低威脅暴露,同時加速價值的實現時程。DevSecOps的採納率在未來幾年將繼續成長。從事後彌補的安全思維,轉移到將安全性建置在開發程式並且分擔責任的模式,對於企業在減少威脅暴露的努力上將有顯著的助益。
<本文作者:張紘綱現為F5 Networks台灣區總經理>