2017年DevOps模式下安全挑战和转机.pdf

1、DevOps模式下安全挑战和转机目录0102行业现状存在问题0304解决方向DevOps模式下安全的7条法则行业现状01SDN/SDE/ABC/IOT 全是DevOps的功劳安全看热闹？黑客宣言：我们不是漏洞的生产者，我们只是漏洞的搬运工，研发是最好的盟友、也是最强大的敌人。存在问题02应用安全积弊已久，是全产业链的问题日趋严重Agile+DevOps-业务生存压力-速度至上-黑客-研发-开源DevOps、云-安全厂商安全技术及理念落后-安全圈的自恋-缺少直接需求四面楚歌速度是一切，安全却在拖后腿安全防护系统的软件定义、可编程能力低，无法集成到DevOps应用是攒出来的、而非写出来的安全技术落

2、后安全VS开发 不成比例资源匮乏安全介入晚，因为谁都想绕着走卡点？失效解决方案03解决方案DevOps模式下04安全的7条法则Dev and OpsDev and Sec拥抱DevOps复制DevOps第一法则:沟通与协作敌对模式Infrastructure&OperationsDepartment of NOApplication Development Department of Anything GoesSecurity and Risk Department of Persistent Nagging悲催模式需求驱动进步生态利益链中安全总是被“忽 略”我们总是那个找茬、令人憎恶的人发动

3、全民安全运动，迫在眉睫但 Who cares?内驱力我什么要做-不做，你能把我怎么着？-我的活已经很多了，别加了-做了，我有啥好处？如何衡量-看结果：代码、产品安全 漏洞数-看过程：做了哪些安全工作-看实力：知识，能力竞赛 CTF?红黑榜？DevOps uses integrated product teams建立顺畅的沟通管道 SEC向DEV学习 SEC帮助DEV DEV向SEC学习 DEV帮助SEC 共同协作 建立反馈机制第二法则:Visibility别给我文档，show me your code？没有度量就没有进步 让数据说话 要结果 更要过程 可视化也是相互的 全记录的重要性可视化管道

4、Dev&OpsSecurity AnalystsApps/NetworkExternal FactorsThreat intelligenceSecurity feedFeedback&Knowledge第三法则:迭代、碎片化迭代、碎片化现用现学现卖可复用模块化认证权限加密日志SQLSSRF学会逐步改进CD积累编码规范、指南代码、库、工具SDK API 服务原则、策略、要求第四法则:嵌入式安全Source CodeGitCloudformation TemplatesJenkinsFunctional TestsChef RecipesChef ServerNonFunctional Test

5、sSecurity TestsTestProd创建一个安全代码库(包括架构)Source CodeGitCloudformation TemplatesJenkinsFunctional TestsChef RecipesChef ServerNonFunctional TestsSecurity TestsTestProd可扩展的安全测试Source CodeGitCloudformation TemplatesJenkinsFunctional TestsChef RecipesChef ServerNonFunctional TestsSecurity TestsTestProd自动化安

6、全运维第五法则:管好软件供应链90%现在的代码来自开源16个下载就有一个有漏洞31%公司已经或怀疑发生开源的攻击2014年97%成功的攻击可以追溯到10个通用的漏洞，其中8个补丁超过10年坚持用最新的No CVE建立和维护关键白名单、黑名单、灰名单减少维护版本最好只有一个版本不要露掉网络、数据库操作系统识别、控制入口实现自动化扫描建立软件仓库和软件地图使用 CD Pipeline管理3rd 软件三方软件的实战当发现漏洞，通过CD Pipeline工具快速更新所有软件第六法则:自动化、自服务动态可配置网络应用系统可自