数人云之前给大家分享了 DevOps 基础设施的建设《乐高的关键在于底盘,DevOps 成功的关键在于基础设施》以及 DevOps 的指标问题《当心 DevOps 虚假指标》,今天再来跟大家聊聊安全性的问题。
以下是 Venafi 发布的一组分析报告,DevOps 的优势很明显,同时安全问题也不容忽视,如果进一步优化,那么对于 DevOps 模式来说更是如虎添翼,也会更快速的推进 DevOps 实践落地。
Venafi 发布了一项报告关于金融机构实践 DevOps 加密安全问题。在 DevOps 环境中,研发和测试协作产生的相关问题,会扩散到生产系统和应用程序中,因此放大了安全问题。对于早期实践 DevOps 的金融机构的来说,是特有的问题。
研究指出,许多金融机构的系统都有相当强大的密码安全策略,然而,在 DevOps 模式中,如此重要的措施却无法执行。此外,金融机构一旦使用 DevOps,涉及到应用和更新方面的运行会使得漏洞更易出现,而这些漏洞原本是可以预防的。
“在当今高度竞争的市场,金融机构使用 DevOps 模式提供了新功能且改善了用户体验。” Venafi 首席安全策略师 Kevin Bocek 说,“然而,DevOps 在安全、数据隐私和遵从性方面缺乏竞争优势。很明显,从手机银行到高速交易等方方面面,许多金融机构仍在执着于保护机器 ID。尽管 DevOps 团队表明他们已经意识到 TLS/SSL 密钥和证书用普通方法建立 ID 会产生风险,但这种认识并没有被转换成实际意义上的保护。”
一直以安全为第一要务的金融机构正在与 DevOps 模式进行互搏。近三分之一( 30%)的金融机构在实践 DevOps 时,所执行的密码安全策略不一致。此外,7%的受访者不确定这些举措是否能横跨 DevOps 和生产环境。
绝大多数( 80%)的金融机构的 DevOps 团队意识到密钥和证书遭受网络攻击的次数及程度的重要性,而这其中三分之二( 67%)的团队都认为网络攻击需要控制和预防。
只有一半( 51%)的金融机构全线替换了 DevOps 证书。当证书没有改变时,没有办法区分哪些是未经测试的机器,哪些又是可以投入运行的安全机器。
从积极的一面来看,金融机构通常有强大的密码安全性实践,有 75%的金融机构要求高规格的密钥( 2048 位甚至更多),60%机构的开发和生产环境需要不同的证书,令人备感欣慰的是,只有 2%的受访者表示,他们机构不需要密钥和证书的政策。
随着 DevOps 的高速发展,特别是在金融机构的发展中对加密机器需求呈爆发式增长。如果没有强大的安全措施和实践,DevOps 密钥和证书仍然允许攻击者隐藏在加密流量中逃避检测从而进行攻击。根据 A10 网络最近的一份报告显示:41%的网络攻击都是来自加密流量而逃避检测产生的。
Venafi 的情报分析师 Tim Bedard 说“正如我们所看到的快速攻击( SWIFT attacks ),金融机构对网络罪犯而言是一个很有吸引力的目标,如果 DevOps 团队提供给金融机构的密钥和证书都没有得到充足的保护,那么网络罪犯就能够利用 SSL/TLS 加密密钥和证书创建自己的加密通道。或者攻击者可以盗用 SSH 密钥内的网络,来提升自己的访问权限,在不被发现的情况下, 安装恶意软件或将企业的敏感数据大量泄漏。”
原文作者:Christian Hargrave、Assignment Editor