为什么数字证书对您的 DevOps 团队如此重要

已发表: 2020-10-02

组织越来越多地将 DevOps 集成到他们的应用程序开发过程中。 根据 Amazon Web Services (AWS) 的说法,DevOps 对组织有很大的希望,因为它有可能提高部署新应用程序和服务的速度和能力。 它通过让开发和运营团队在整个应用程序生命周期中协同工作来实现这一点。 (安全团队也可能参与到称为 DevSecOps 的流程中。)开发和运营人员一起使用扩展的技术堆栈和工具来自动化他们传统上手动完成的流程。

不用说,组织可以通过采用 DevOps 模型获得许多好处。 如果让开发人员、运营人员、安全专业人员甚至是质量保证部门的人员束手无策,他们不一定知道可能阻碍项目按时完成的障碍。 那是因为这些小组为作业添加了一些不同的东西。 正如 Digital.ai 所指出的,他们不一定从对新应用程序的业务环境或价值的相同理解来处理他们的工作。 因此,这些团队甚至可能有相反的目标,这可能会阻碍项目并导致内讧。

数字证书:DevOps 跟上安全步伐的挑战

组织希望在 DevOps 模型下充分利用将不同团队集成在一起的功能。 承认这一事实,DevOps 作为一种思维方式不断变化以适应不断发展的技术环境也就不足为奇了。 因此,DevOps 必须跟上信息安全领域的步伐。

Akamai 的高级产品经理 Sid Phadkar 向TechRepublic明确了这一点:

随着美国和全球数据泄露事件数量的增加以及对数据隐私法规(如 PSD2 和 GDPR)的日益重视,精通 DevOps 的组织将被迫在未来一年将安全措施的尽职调查列为优先事项。 随着新法规的实施,将要求更多的应用程序开发人员直接在代码中构建严格的安全策略。 DevOps 工具将会增加,以满足信息安全团队中更多与合规相关的任务的自动化,从而将安全和合规措施纳入日常 CI 工作流程。

问题在于,将 DevOps 与安全性结合起来并不总是那么容易。 事实上,Keyfactor 指出,由于上述冲突,许多组织难以围绕 DevOps 实施一致的安全策略。 良好的安全实践通常与新应用程序或服务的及时交付有关。 因此,如果没有合适的工具来支持 DevOps,安全人员就无法以需要支持的方式支持开发人员。 因此,开发人员将更倾向于抵制新的安全实践,并寻找不合规的替代方案来替代减缓它们的新流程。

这些挑战是证书生命周期管理特别关注的问题。 组织需要使用 PKI 通过代码签名或创建证书来保护 DevOps 生命周期。 但正如 AppViewX 所指出的,这种 PKI 的实现通常会受到证书生命周期的可见性差以及与证书颁发机构的通信不一致的影响。

传统的 DevOps 管道通常也依赖手动请求来获取可信证书。 这些类型的请求破坏了软件开发生命周期的敏捷性。 大多数容器都不会运行很长时间,因此如果这些请求需要数天才能完成,那么除非组织放慢应用程序的交付速度,否则生成的数字证书实际上将毫无用处。 这种活力也使 DevOps 难以自行管理和监控这些证书。 因此,团队成员可以寻找捷径、诉诸临时流程或购买使用多种加密标准的证书——这些变化会增加组织的安全风险。

这些担忧不仅会引起行业分析师的共鸣。 DevOps 专业人士也共享它们。 在 2019 年的一项调查中,74% 的 DevOps 专业人士告诉 Venafi,他们担心颁发证书可能会减缓开发速度。 超过三分之一 (39%) 的开发人员表示他们应该能够规避这些政策以满足他们的服务水平协议,而不到一半 (48%) 的受访者表示他们认为他们组织中的开发人员总是通过渠道请求证书和安全团队批准的方法。

DevOps 团队如何最好地处理他们的证书

为应对上述挑战,DevOps 团队可以通过自动化证书管理流程来最好地处理他们的证书。 正如 DevOps.com 所指出的,Kubernetes 等编排工具通过 ACME 协议支持证书管理。 Kubernetes 将私钥存储在 Kubernetes Secret 或 Hashicorp Vault 中,从而为证书管理系统提供无缝集成。 DevOps 团队还可以使用私有 CA 对其容器进行数字签名,以帮助验证给定容器,因为它通过 TLS 连接进行通信。

除了自动化之外,DevOps 还需要提高其证书的可见性以避免不必要的中断。 团队成员需要能够在证书过期之前更新证书并解决不正确的配置以确保关键服务保持正常运行。 TechBeacon指出,DevOps 应该使用称为“配方”的 API 驱动的自动化集合来编排涉及密钥和证书的流程,以尝试平衡敏捷性和安全性。

对此有什么想法吗? 在下面的评论中让我们知道,或者将讨论带到我们的 Twitter 或 Facebook。

编辑推荐:

  • 如何在 DevOps 中实现持续测试?
  • AWS DevOps 工程师正在大放异彩 – 用这个 30 美元的课程包开始你的职业生涯
  • DevOps 如何保护客户数据
  • DevOps 如何改变软件开发

编者注: David Bisson 是一名信息安全作家和安全迷。 他是 IBM Security Intelligence 和 Tripwire 的 The State of Security 博客的特约编辑,也是 Bora 的特约作家。 他还定期为 Zix 和数字安全领域的许多其他公司制作书面内容。