現今商業競爭環境中,app 是公司與客戶資料互通存取的閘道,企業致力提供更聰明、更快速且更安全的 app,加速數位化轉型。為了達到更敏捷、延展和成本效率目標,企業正將他們的 app 轉移到雲端。
根據 Dell EMC 與 Vanson Bourne 合作的「全球資料保護指標」研究報告指出,亞洲企業的雲端使用率從 2016 年佔整體 IT 環境 27%,增加到 2018 年的 41%,而且幾乎 100% 利用雲端作為資料保護策略的一部分。
事實上,F5 Networks 的 2019 應用服務現狀報告發現,亞洲在 app-first 應用第一的驅動下,87% 企業擁有多重雲端架構。澳洲、紐西蘭、東南亞國協、中國和印度超過 90% 受訪者表示使用超過一家雲端服務供應商。新加坡有 57% 大型企業採納雲端的計畫,更有 33% 預期將在未來 6-12 個月跟進,雲端轉移趨勢正蓬勃躍進。根據 IDC 2019 年的產業趨勢觀察預估,到 2023 年,臺灣 33% 的超大型企業會評估開放型虛擬架構,也將有 28% 的大型企業採用雲端協同開發環境,此外,40% 企業則會在自有機房部署原生雲端技術。
雖然雲端是本來就存在的概念,但它一直不斷地變形,使得企業往往要投入執行計畫時,才體認採納雲端的複雜度,而雲端知識與工具的欠缺,也使得企業在這些新 app 環境的營運管理上遭遇以下許多挑戰。
DevOps:一種新的應用部署方法
DevOps 對某些人而言相當陌生,不過這種新 IT 方法正快速累積動能,因為它將人員、程序與產品結合起來,持續為終端使用者提供價值。DevOps 以更快的步調交付,推動創新並提升員工生產力、溝通與參與。亞太地區已有 94% 企業在他們的環境採納 DevOps。
在許多企業中,建構和保護應用程式通常是一種孤立的事情。產品所有者,網絡工程師,開發人員和安全工程師都來自不同的團隊。而且這些團隊都自覺,他們各自的「工作任務」是公司的首要關注目標。
今天,隨著敏捷和 DevOps 的發展越來越快,安全團隊通常缺乏對項目的預先了解,因此威脅模型評估是在事後進行的,在沒有真正理解業務開發應用程式的原因與時效,企業往往無法按時發布新應用程序,因為威脅模型評估可能需要數週或數月才能完成。
為了在程式碼開發與客戶終端價值之間建立更快速管線的結果,使得 app 環境風險提高,app 本身成為 53% 資料攻擊的初始目標。因此,企業的關鍵重點必須從傳統「建置安全性以符合法規遵循」的作法,轉向以更主動的方式,在安全工具與程序內運用 DevOps 原則。,整個安全過程必須內化融入到每一個發展階段。當然,應用程式仍需要威脅模型評估,但必須以滿足業務所有目標。
DevOps 不再只是組織創新策略下由一些人員組成的團隊,而是一種新的 IT 方法。如果安全工具與措施未能進化,並且進行調適以舒緩風險而不造成 app 部署管線的遲緩,這樣快速 app 交付所能提供的利益才能彰顯價值。
解決之道:DevSecOps
為了充分發揮 DevOps 潛能,企業必須從一開始就將安全性與資料治理整合到 DevOps 生命週期。這就是所謂的「shift left」,亦即在更接近開發階段的時間點結合安全性,有別於現在僅集中在部署階段的作法,此一安全關鍵的動能就是 DevSecOps,根據行業智庫 MarketsandMarkets (M&M) 報告指出,其市場規模估計在 2023 年將達到 59 億美元。
DevSecOps 的長期利益遠超過短期帶來的適應痛苦。它不僅僅是以無摩擦的方式製定政策。這是整個安全構建 – 計劃,執行,檢查,行動完全融入協作的工作方式。它將整個安全思維帶入更大的跨功能容器中。企業可以將一些安全控制例如原始碼分析、軟體供應鏈控制、以及動態應用安全測試整合到開發管線之內。再者,自動化可用於提供回饋迴路,以減少應用部署程序的摩擦。這有助於快速進行不同技術的原型測試,因為那需要以一種 API-driven 方法維護安全控制。
一如現有的 DevOps 方法,DevSecOps 的成功關鍵包括人員、程序與技術等三大基本要素。
人員:雖然 DevSecOps 是一項由技術促成的旅程,不過卻是一個由人員起始的程序。企業需要推動組織變革以破除介於開發、營運與安全團隊等傳統孤島之間的隔閡。這項改變涉及賦予跨團隊能力,以管理端對端應用生命週期。
程序:除了謹記 DevSecOps 的關鍵在於速度和品質之外,企業應盡可能的將人工程序予以自動化,而不犧牲網路安全需求。安全性應被視為一個貫穿開發階段的程序,而非等到應用部署後才想到要彌補。在開發階段建置威脅模型記事板 (threat-modeling storyboards),有助於將安全性植入設計內,同時也能破除「安全性是一個導致延誤的看守者」印象。
技術:隨著 DevOps 的出現,以雲端為基礎的方案獲得更高採納率。為求能夠跟上現代化應用部署的步調,企業應在開發階段的更早期整合安全技術,而為了朝向「shift left」模式發展則應考慮整合採用自動化優先和 API-driven 方法的安全方案。建置一些整合在軟體交付管線內而不會減少部署時間表的技術,將可以帶來一些額外效益,包括可重複、可稽核,而且能夠在開發、營運與安全團隊成員之間建立一種共同分擔的安全責任。
資料外洩與攻擊事件的數量沒有減少的跡象。隨著攻擊本質變得更趨自動化和分散,企業可以採納一些新的方法以降低威脅暴露,同時加速價值的實現時程。DevSecOps 的採納率在未來幾年將繼續成長。從事後彌補的安全思維,轉移到將安全性建置在開發程序並且分擔責任的模式,對於企業在減少威脅暴露的努力上將有顯著的助益。