心灵(通信)差距:安全领导人如何成为开发和运维语者

开发人员、行动和DevOps团队必须把安全融入他们的流程——通常很难。的安全领导人能够成功结合他们织安全工具和工作流。

建立安全控制整个企业的独家领域安全团队。不了。因此,安全领导人必须从开发人员得到支持,它/不行动,DevOps团队安全构建到他们的日常流程。的关键不仅仅是更好的沟通,但他们与这些团体,用他们使用的语言。这篇文章解释说,安全部门必须改变从守门反对者的商业伙伴。

企业安全的变化的世界

随着技术环境的扩大和发展,将无数的资产类型和网络架构,包括云平台和IaC自动化、越来越多的IT团队发现自己管理一个广泛的至关重要的资产。因此,他们必须实现,坚持和维护安全控制来保护数据,应用程序和资产监督。为了保护这些资产,成为开发团队必须,DevOps组和运营团队(这和OT)构建安全融入日常运作和任务。但安全不是这些团队的核心竞争力——我们也不应该期望它是!他们的业务目标,重点和动机——有时截然不同,可以创建固有电阻来减轻风险的安全团队的目标在整个组织。

先概述了这些差异如何架起沟通的桥梁,通常支撑阻力这些业务单位安全团队的目标。

为什么我们做我们做什么

让我们建立的动机三个关键球员在今天的技术格局:安全、发展和DevOps。安全团队是由熟悉的中情局三位一体的机密性、完整性和可用性。控制在整个组织中实施旨在确保一个或多个这样的原则。保护数据免受,确保资产不妥协,建立弹性的基础设施都是安全的关键动机。

开发团队没有动机以同样的方式。虽然可能会有一些粗略的确认保持系统正常运行,安全不是一般的心灵。开发人员在其核心建设者。他们创造的新功能,推动销售通过新功能和新软件的架构师。他们认为安全的目标建设新东西的一个障碍。很难快速编写和部署代码,最终用户提供的新功能,当你进行安全扫描,检查代码审查和其他安全团队要求做什么就做什么。直接冲突的良方:需要平衡有效的编码实践而部署的代码是安全的,安全的和自由的错误可能会导致应用程序的一个妥协。

DevOps的球队,然而,跨越这些团体之间的线,从台穿梭代码,应用程序和基础设施投入生产。像开发人员,DevOps认为安全是一个障碍,但在这里,主司机不一定创造新的东西,而是,找到有效的方法来完成他们的任务。这通常围绕着大量的自动化,这允许DevOps团队是快速、灵活和能够解决大规模部署以最小的努力。这里,安全被视为阻碍这些自动化的过程,因为它需要多个检查,确保生产部署和安全是安全的,因为它创造了复选框添加到现有的DevOps任务通常不像其他工作流自动化。这可以显著降低部署过程,这就是摩擦发生。

纵观行,似乎没有一个明显的地方这些团队可以相交,找到共同点。还是那里?安全领导人知道这些目标对齐远远超过大多数实现都成功打破阻力和建立一个更强大,更无缝组织的安全程序,有效地降低风险。这一切开始改变信息结合重要的每一个团队。

再次像井水一样源源不断赢得了一天

安全团队一个常见的错误与他们的交流项目是假设每个人都明白安全是很重要的,并且他们重复一个沉重的安全信息。但对大多数非安全性业务单元在一个组织,我们常常无法解释安全而言,突出像井水一样源源不断,即“它对我来说是什么?”。实际上,大多数非安全性组织中的业务单位把安全看成自己的努力的障碍,通常把它写成“其他团队的工作”。网络内容过滤屏蔽网站。端点安全防止好玩的游戏和应用程序的安装。电子邮件安全阻止人们点击诱人的链接有前途的彩票奖金,包交付更新或税务解决方案(说真的,请不要点击任何这样的)。当安全控制被视为来自“不”的部门,难怪DevOps开发人员和管理员正犹豫允许安全控制进入他们的域名?

安全并不一定是“不”的部门,和我们拥抱安全控制,同步用户、管理员和工程师做生意,就越容易向他们展示他们的组织作为一个整体。所以,让我们来看看一些建议在People-Process-Tools三合会,您可以提高您的开发和DevOps团队的支持和拆除的障碍常常阻止安全团队成熟和满足他们的目标。

表:People-Process-Tools安全团队的建议

	开发团队	DevOps的团队
人	不需要开发人员成为安全专家和学习一些安全工具。他们住在编程环境,它在每个人的兴趣仍然存在。 教学实践安全编码是有价值的,并帮助衡量安全进入整个过程通过开发人员做他们通常做的事情:编写代码。 与开发人员沟通,承认没有期望,他们必须使用额外的安全工具或者他们负责理解安全在同一级别的安全专家组织。	DevOps团队通常有更好的符合安全,但它们仍然很忙的人,也不应该背负的预期他们会安全专家。 通信与DevOps团队应该与开发人员一样,强调了地区安全控制集成机制,DevOps团队需要保持他们的自动化引擎运行。
过程	专注于基于策略的控件开发人员代码提供输出。也就是说,破碎的代码在哪里和什么代码可以用来修复它,而不是一个PDF报告显示“你的应用关键的严重漏洞”。 安全结果转化为工作请求显示到底需要做什么,。(这可以而且应该是自动的!) 开发者实时响应的值。他们试图快速构建新功能,等待安全流程提供反馈船之前代码是诅咒他们的工作方式。	安全控制中应该实现DevOps工作流尽可能在过程的早期。作为交易这些团队规模、强大的安全控制,确保图像,应用程序容器和其他资产担保之前他们推出数千意味着DevOps团队可以专注于解决一些只有一次。 尽可能采用红光/绿灯(或去/不去)立场对于任何问题或发现从安全的角度来看问题。这是容易自动化到现有DevOps工作流决策树和防止DevOps不得不放慢速度,安全结果转化为具体的任务。 扩大上述观点:在可能的情况下,提供具体的补救措施,DevOps团队。他们专注于“完成它”,和更多的时间试图找出做什么只会阻碍他们的工作流程。
工具	你把任何软件产品开发工作流必须本地集成到现有的开发工具。不要期望开发人员学习新的安全工具。相反,带来安全纳入构建环境(是的,这些工具存在!) 安全调查结果应该自动转化为开发人员工作请求和融入问题跟踪系统(例Jira)	DevOps世界安全工具必须简单和强大的api,并允许集成和然而,DevOps的团队工作的地方。这意味着支持多个云平台、工具和脚本语言。 与开发人员、安全工具应该无缝地集成到现有的DevOps工具和输出结果的方式与他们的工作负载。这意味着融入票务系统或其他工作流管理工具(例如ServiceNOW)。

结论

在一天结束的时候,安全专家和领导需要与观众沟通观众本身,不安全的人。我们必须证明,我们希望实现的安全控制不会创建新软件的特性和功能障碍你的开发团队的重点是。我们还需要展示这些控件不会妨碍DevOps团队茁壮成长的速度和可伸缩性。如果我们成功的在这样的沟通,安全团队可以摆脱被视为“不”的部门,而被认为是一位商业伙伴组织授权操作上更有效,同时减少和减轻风险的核心任务。

了解更多

• 读白皮书3级别的安全战略业务风险决策
• 看点播网络研讨会网络领导教训的新世界工作:接下来是什么?
• 阅读博客调整网络安全和业务:没人说这很容易