容器安全平台已经开始激增,但是企业可能不得不在选定保证容器工作负载安全的工具之前,仔细观察 DevSecOps 的趋势是什么。
11月发布的两个容器安全平台(一个由新兴企业提供,一个由成熟企业安全厂商提供)采用不同的方法。
初创公司 NeuVector 在 DevOps 企业峰会2017上推出企业版,它支持集成到持续集成和持续交付( CI / CD )流水线中的代码和容器扫描功能,但是其实施不需要改变开发者的工作流程。
相比之下,来自更为成熟的安全软件供应商 CSPi 的 Aria Software Defined Security 产品允许开发人员控制是否将库插入容器和虚拟机镜像,从而执行安全策略。
当然,这些容器安全平台之间存在许多重叠。
NeuVector 盯着 CSPi 的企业客户基础,还增加了对非容器工作负载和 Lightweight Directory Access Protocol (轻量级目录访问协议)的支持。
软件定义的安全包括NeuVector主要关注的策略执行的网络微分段功能。开发人员将软件定义的安全代码注入服务器镜像,但其实他们并不希望成为安全专家。企业IT安全专业人员设置由软件定义的安全所强化的策略,以及一系列通过软件定义的安全库的集成过程来指导开发人员的向导。
两家供应商同意这样的观点:采用DevOps流水线的现代IT基础设施可以实现快速的应用程序更改交付,这要求安全路径与传统的漏洞检测和修补技术完全不同。
451 Research分析师Jay Lyman表示,用户对容器的新安全技术存在明确需求——更少地依赖虚拟机基础设施层来强化网络边界,而这样可能会否定容器带来的一些好处。
然而,虽然业界大量讨论需要“左转”并让开发人员参与IT安全实践,但对大多数组织而言,将开发人员和安全人员集中在一起都是说起来容易做起来难。
容器安全平台遇到DevSecOps成长的痛苦
随着NeuVector和CSPi产品的更新推向市场,DevOps企业高峰会(DOES)上的企业IT专业人士表示,目前很少有企业使用容器,对容器安全性的讨论还远远不够。
在容器被广泛使用的时候,DevSecOps可能会更加成熟,这可能会有利于CSPi的实践开发者战略。但是现在,开发人员和IT安全仍然严重分裂。
KPMG LLP的风险顾问Joan Qafoku表示:“每个人都需要保持安全意识,但要求开发人员学习安全并将其整合到自己的工作流程中,我不明白这怎么做得到。”Joan Qafoku与一个位于西雅图的大型企业客户的IT团队合作。Qafoku没有透露这个客户的名称,只介绍这个客户给了开发者一个聚焦安全的调查问卷,但是在他们的流程中,关于安全的整合并没有更进一步。
NeuVector具有集成到CI / CD流水线而无需更改应用程序代码或开发人员工作流程的能力,这被德国国际外包服务公司Arvato的安全架构师Tobias Gurtzick认为是主要卖点。
尽管如此,Gurtzick在DOES之前接受采访时说,这种集成在NeuVector产品的早期版本中并不完美。Gurtzick的团队每两分钟就会调用一次API来触发容器和代码扫描。
NeuVector1.3版本包含了一个新的webhooks通知功能—— 作为持续集成测试的一部分,它可以更“优雅”地触发代码扫描,而无需轮询API的性能开销。Gurtzick认为,这是新版本最重要的特性。
他还指出,新版本增加了对可用于取证分析的详细网络会话快照的支持。软件定义的安全在第一个版本中提供了类似的功能。
Lyman说,尽管Gurtzick等容器安全平台的早期采用者已经解决了关于开发人员和IT安全如何将安全性应用于应用程序的争论,但随着企业还在探索这种合作,总体市场成型的速度有点缓慢。
Lyman说:“越早将安全注入到开发过程中越好,但通常这还是会落在IT运维人员和安全人员身上。DevOps挑战的一部分就是将这些责任与应用程序开发结合起来,最终,我们会看到更多的开发人员参与安全性,但这需要时间,而且这个过程可能会非常痛苦。”
投稿邮箱:openstackcn@sina.cn
1515
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
