记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

敏捷安全10法

2017-04-20 00:40

找到让开发者可以做其想做,可以掌控开发时间与速度的方法。

从企业承受的网络攻击,因为向云的迁移而出现的新网络威胁。云带来了很多业务上的好处:敏捷性、可扩展性、开支节省,但往往安全跟不上。如何达到云端敏捷安全,就成为了很多公司部署云环境时遇到的一大挑战。

Xero为会计师和小企业服务的云会计平台,过去1年中帮助开发人员安全发布了超过1,400个新产品功能和更新。下面是Xero的10条指南:

1. 改变开发和运维团队的思维

开发和运维团队常将安全视为生产力绊脚石。虽然云的出现已经将开发和运维弄得更紧密了,安全却往往是一个例外般的存在。要从一开始,就引入能展现安全可跟上开发速度的新视角。

2. 向安全团队引入开发安全运维(DevSecOps)方法

为推进项目,持续迭代和部署新产品及解决方案,Xero征召了自己的安全团队,称之为“安全即服务”,让他们可以在Xero内部以供应商的方式运转。其快速响应团队也全天候工作,产品安全团队则与公司其他部门并轨运行。

3. 标准化核心安全原则

想要既保持敏捷和安全,又创建“时刻在线”的文化,Xero严格执行3个核心安全原则:API驱动的安全、快速安全和按需安全。该3原则可映射回开发安全运营。

4. 采纳“API驱动的安全”

Xero摆脱了人工登录到控制台管理安全系统的传统方式。通过去除过程中的人类因素,该公司建立了持续集成方法,实现了交付一致性。例如,一旦某条安全策略需要调整,Xero能立即做出该调整,消除系统中的不一致或非必要的中断。

5. 创建安全快速响应团队

Xero也意识到,快速响应时间是科技公司竞争优势不可或缺的东西。为推进“快速安全”,Xero的安全团队实现了持续衡量、测试和监视以进行快速迭代。

6. 利用云

为实现“按需安全”,Xero部署了云技术,确保其安全态势是动态的,并与其他主流企业安全厂商紧密合作,打造适合按需安全系统的可扩展商业和技术模型,让Xero的安全团队可以根据需要扩充或削减基础设施。

7. 部署代码驱动的安全基础设施

安全不应该一次次从头来过。Xero代码驱动安全基础设施,让安全系统建立和管理过程得以自动化,并具备可重复性。

8. 重视可见性和管理

Xero只想为自己真正用到的资源付款,而不是浪费钱财在高峰云使用上。与AWS及其他厂商的合作,让Xero得以在基础设施上采纳敏捷响应方法,并建立动态商业和支持模型。端到端可见性也让Xero可以用细粒度的方法管理其开源工具配置,助力安全团队跟踪云服务器的部署、使用和管理。

9. 采用弹性和自动化

作为深度防御策略的核心租户,Xero在主机级别进行监视、检测和防御。该策略是Xero敏捷安全方法的核心,贯穿部署和运营过程。

10. 决策者的安全支持

有了主要决策者的认同和支持才能达到目的。为巩固其敏捷安全支持,Xero的决策者从头到尾勠力支持。Xero知道安全和速度并不是互相排斥的;如果安全团队不敏捷,可能会束缚到公司的脚步。一旦工作受到顶层的支持,Xero便成就了持续且安全的敏捷安全创新。

 

知识来源: www.aqniu.com/learn/24335.html

阅读:84987 | 评论:0 | 标签:术有专攻 云安全 开发安全运维 敏捷安全

想收藏或者和大家分享这篇好文章→复制链接地址

“敏捷安全10法”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于垒土;黑客之术,始于阅读

推广

工具

标签云