作者,北京老李:PMI-ACP讲师中国“黄埔一期”TTT、EXIN DevOps Master(大师级)讲师(首批全国十名)、国内首批EXIN Product Owner讲师(首批全国十名)、EXIN授权EXIN Agile Scrum Master讲师、首批ITIL Expert讲师、 Lean IT 认证讲师、PMP、Prince2专家级、EXIN云安全管理、EXIN 云服务管理、国内首批APMG 信息安全官(CISO)TTT、ISO27001 LA、ISO20000 LA等多项认证。先后在北京、上海、广州等地主导软件开发、系统集成、咨询服务等工作,主要研究方向云安全管理、敏捷与DevOps落地实施。
1.什么是DevSecOps
DevSecOps 是一场关于 DevOps 概念实践或艺术形式的变革。DevOps之父Patrick Debios 强调:“DevOps2.0时代应首先解决人的问题”,要学会系统化思考与全面思考,包括安全性、容量、连续性等内容。
DevSecOps是DevOps开发运维一体化运动的一种延伸。在开发运维中融入安全管理的实践,实现在云计算平台中快速、安全地进行软件持续交付。
2.DevSecOps的价值
保障业务安全:今天很多企业的业务运行在容器中。以容器安全为例像 Symantec、McAfee、TrendMicro和其他公司都提供端到端的基于容器的安全解决方案,包括反恶意软件、容器加固、监控恶意网络活动等功能。但容器和主机之间的控制,以及其他技术上的差异,使得这些产品无法支持开箱即用的容器,要求开发都必须针对容器的安全进行调整,才能保证业务的安全。
保障服务安全:DevSecOps要调整适应DevOps方法论,理解和调整安全性以适应正在制定的新流程。通过新流程保障金三角的三个部分(人、过程、技术),保障服务的安全,需要我们在在人员、流程、技术三个内容内置安全,人员方面,在服务的过程前、过程中、过程后都应保证在基于《网安法》的前提下保障用户的隐私、数据的安全。
在过程(流程)应通过服务流程嵌入安全流程,打通开发、测试、运维与安全的集成,并一体化,才能实现DevSecOps,保障业务服务的安全。
在工具方法实现安全检查、安全开发、安全测试、安全运营相结合,才能实现技术上的安全,并结合服务的特点,与手机端,移动端相连接实现服务安全的保障。
保障DevOps自身的安全:DevSecOps是描述DevOps2.0的安全解决方案。云、容器和无服务器等技术是DevOps运动的关键。每一个都提供了新的功能并引入了新的技术栈,这些技术栈反过来又有特定的安全需求,如何保证DevOps工具链本身的安全也是防止被拖库、防止信息被泄露、防止数据外泄,IT人必须做的工作之一。
3.DevSecOps是DevOps2.0的实现
2017年10月【DevOps Handbook】针对于DevOps的定义:DevOps是一个软件工程实践。通过开发、质量、IT运营和信息安全人员的协作,朝着一个共同的目标努力,使技术价值流通过计划工作快速投产用于满足业务和组织的成功,实现每天多次部署、达到世界级的稳定性、可靠性、可用性和安全性。并且在DevOps Master课程中进行DevSecOps管理模式进行了展开。具体管理角色如下:
DevOps Master课程中会详细展开非功能需求的包括内容,以及如何做好DevOps中安全保证,实现DvOps2.0的美好远景。
4.凤凰项目沙盘实现DevSecOps
在大型DevOps沙盘中您可以通过实践来了解安全在DevOps中的实现。《凤凰项目》DevOps的代表作之一,是一本小说体IT管理读物,是公认的DevOps入门第一本书。这本书从构思到成书花了将近五年以上的时间,出版之后获得了巨大的成功。
凤凰项目沙盘是由欧洲著名沙盘游戏研发机构Gaming Works的创始人Jan Schilt联手《凤凰项目》的作者Gene Kim开发的同名沙盘演练课程。课程以《凤凰项目》小说为背景,通过扮演小说中各种角色,运用 DevOps 的理念,模拟再现小说中的场景,让参与者们直观感受DevOps的文化精髓,加深对跨部门协同工作的理解,并建立全局视野,挽救濒临破产的“无极限零部件公司“。
凤凰沙盘游戏以《凤凰项目》中的“无极限”公司所遭的困境为背景,参与游戏的角色从CFO、HR、业务、IT VP到IT Support、Change Management及书中最忙的Lead Engineer等十几个。CFO需要从众多项目中根据其业务价值(已转换为$$$)选择高价值的项目给团队做,以满足财务目标,扭转公司的财务窘况。通过沙盘的体验认您了解到真正的DevSecOps模式。在实践沙盘中的运行模式,让您了解到DevSecOps的的实现模式与运行方法。
5.DevSecOps与传统安全的区别
安全是每一个人的责任,将安全从多个点渗透到整体开发和运维的生命周期将提升交付的质量。Gartner 研究公司的分析师 David Cearley 认为,当今的 CIO 应该修改 DevOps 的定义,使之包括安全理念。他称之为 DevSecOps,“它是糅合了开发、安全及运营理念以创建解决方案的全新方法”。
Cearley 还指出,企业投资防火墙、IPS 等外围防御系统本身无可厚非。但是,在塔吉特、家得宝及索尼等公司爆出的安全漏洞使其损失惨重,显然,单纯地守卫边界是不够的。在 DevOps 方案中添加安全理念之后,CIO 与其团队将不得不更加细致地考虑安全——在软件开发过程的一开始,而不是事后,就考虑安全问题。
DevSecOps作为一种理念和安全转型,进一步与其他安全变革相协作。换句话说,无论你是不是相信安全需要被添加到开发,运营,或其他业务流程中,事实就是如此!安全需要被添加到所有业务流程中,并且需要创建一个专门的团队,理解业务,使用工具来发现缺陷,持续测试,而企业经营者则需要运用科学预测做出决策。更进一步,要完成完整的变革进程,DevSecOps都需要高级管理层和董事会的参与,将信息作为业务运营的关键指标,在当今经济下,在竞争日益激烈的低信任环境中,证明自己的价值。
6. Atlassian 如何实现DevSecOps
Atlassian有一套全面的安全措施,确保客户信息得到保护,并提供基于安全的最可靠和安全的服务。然而,Atlassian也认识到安全事件仍然可能(而且确实)发生,所以当它们发生时,有有效的方法来处理它们同样重要。
因此,一个明确定义的方法来应对影响我们的服务或基础设施的安全事件。事件响应方法包括对我们的产品和基础设施进行全面的日志记录和监控,以确保我们能够快速发现潜在的事件,并通过精心定义的流程来确保在事件发生的所有阶段我们都需要做什么。这是由一支高素质的随叫随到事件经理团队支持的,他们在协调有效的反应方面有丰富的经验。还可以接触到一系列外部专家,协助我们尽可能有效地进行调查和作出反应。
Atlassian根据NIST 800-61计算机安全事件处理指南构建了事件管理方法,并根据Verizon VERIS框架对事件进行分类。
几种快速检测潜在事件的方法
适当的监控机制来检测Atlassian产品和基础设施中的故障或异常,这些故障或异常可能是潜在安全事件的指示器。如果检测到需要进一步调查的活动,这些系统会立即通知用户。通过一个聚合的日志捕获和分析平台,可以整理所有的相关日志,因此分析人员可以快速和彻底地进行调查,站点可靠性工程师监控平台,以确保它始终可用。
还在安全信息和事件应用程序中创建警报,主动通知相关的团队。通过这些渠道可能会发现漏洞或事件,包括漏洞奖励计划,客户户支持门户,以及定义的安全电子邮件收件箱和电话号码。为了确保事件响应过程是一致的、可重复的和有效的,定义一个明确的安全管理事件流程,涵盖在事件响应过程的每个阶段需要采取的步骤。 Atlassian已经记录了不断更新的剧本,其中详细定义了我们需要采取的步骤,以有效地应对不同类型的事件。在高水平上,我们的应对框架包括:
事件检测和分析, Atlassian采取下列的步骤通知我们收到关于潜在事件,包括 Atlassian如何确认是否发生安全事故(以便我们减少假阳性,即误判安全事件),通过理解攻击向量,目标,范围和影响Atlassian的客户。 Atlassian将事故定义为四个严重级别中的一个:
0.重大的影响并且严重的事件(Crisis incident with maximum impact)
1.高的影响并且是严重的事件(Critical incident with very high impact)
2重要的影响并且是重大的事件 .(Major incident with significant impact)
3 小的影响并且是低风险(Minor incident with low impact)
通过信息安全事件的管理过程,实现信息安全事件的遏制、根除和恢复。考虑到事件的严重性,Atlassian决定和实施必要的步骤来遏制事件,根除潜在的原因,并开始我们的恢复过程,以确保我们尽快恢复正常的业务。当然,Atlassian在这一阶段所采取的步骤将根据事件的性质有很大的不同。在任何对Atlassian的客户有利的情况下(或根据Atlassian的法律或合同义务的要求),Atlassian也会就事故及其对客户的潜在影响在事故响应过程的这一阶段进行沟通。
一个健壮的事后审查过程,当每一事件解决后,Atlassian会看看发生过程中我们可以学到的经验教训,可以通知技术解决方案的发展,过程改进并引入额外的最佳实践,这样Atlassian可以继续为客户提供最好的体验。
Atlassian如何使用自己的工具来管理安全事件
Atlassian使用自己的许多产品的特殊配置版本,以帮助确保我们能够尽可能有条理、一致和动态地处理事件。这些包括:
Confluence:我们使用Confluence在一个中心位置协同创建、记录和更新我们的事件响应流程,确保这些流程被分发给所有员工,并能够根据过去事件的经验教训迅速更新。Atlassian也用Confluence来记录我们的剧本和狩猎(playing and hunting)。
Jira :我们使用Jira来创建处理可疑事件的初始调查的工单,如果Atlassian的初始调查确认发生了事件,就可以方便和跟踪Atlassian的反应过程。这些工单帮助我们收集关于事件的信息,制定解决方案,并执行其他后勤工作(例如将任务作为响应过程的一部分,并在必要时联系公司内的其他团队,包括安全团队、风险团队、法律团队)。我们还使用Jira来跟踪我们执行的狩猎(hunting),以及每次狩猎(hunting)的成功或失败。
Bitbucket:Atlassian使用Bitbucket作为源代码控制工具,当Atlassian开发基于代码的解决方案,以解决特定类型的事件。Atlassian开发的解决方案可以在内部协作并进行测试,同时保持私有并在必要时促进快速迭代。还将Bitbucket与持续集成/持续交付计划结合使用,推出代码来帮助减轻事故的原因,或帮助检测或预防未来的事故。
最终,这些工具的使用帮助Atlassian建立一个响应框架,确保事件,无论类型,都开始有一定的结构和熟悉程度,以便我们能够尽快找到解决方案。
7. 定制DevOps Master课程
广告:听课程,选老师,北京老李是你的选择之一,欢迎定制北京老李的DevOps Master课程,满足你个性的DevSecOps安全需求:)
8.爬楼
如何一次通过系列:
如何一次通过DevOps Foundation考试 https://www.douban.com/note/759867840/
如何一次通过DevOps Master考试 https://www.douban.com/note/660291760/
如何一次通过PMI-ACP https://www.douban.com/note/720287998/
如何一次通过EXIN Scrum Foundation https://www.douban.com/note/769868855/
如何一次通过EXIN Scrum Master https://www.douban.com/note/722250431/
如何一次通过APMG ISO/IEC20000:2018版 LA https://www.douban.com/note/762608725/
如何一次通过CCSK4.0(网盘下载CCSK4.0,送DevSecOps宣言中文翻译版) https://www.douban.com/note/764185464/
如何一次通过EXIN CCC云服务管理专家认证 https://www.douban.com/note/762735674/
2020年2月EXIN DevOps及敏捷前置要求与学习路径推荐 https://www.douban.com/note/752263618
DevOps Master课程:DevOps Master教练十二条原则 https://www.douban.com/note/718124778/
DevOps Master课程:DevOps Master教练的三个层次 https://www.douban.com/note/719145305/
DevOps Master课程:招聘DevOps工程师必问的12个问题(送DevOps实现的三个路径) 相关主题 https://www.douban.com/note/709308373/ DevOps Master :
敏捷项目管理ACP中国“黄埔一期” https://www.douban.com/note/728728754/
敏捷项目管理课程:建立持续改进的个人看板 https://www.douban.com/note/745245657/
DevOps Master系列:再论DevOps核心原则CALMS https://www.douban.com/note/731775271/
DevOps Master系列:如何把DevOps与CMMI整合 https://www.douban.com/note/759766513/
https://www.douban.com/note/713613037/ DevOps professional课程:只讲技术之CHEF(1)
https://www.douban.com/note/708968150/ DevOps Master课程总结:知否知否,应是DevOps肥ITIL瘦(送ITIL4前生今世)
https://www.douban.com/note/708218842/ DevOps Master课程总结:学习没有捷径(送DevOps安灯正确方法)
https://www.douban.com/note/694641377/ DevOps Master凤凰项目沙盘总结:DevOps黄金三步法
https://www.douban.com/note/700603657/ DevOps Master凤凰项目沙盘总结:履霜坚冰至,转型应自强不息
https://www.douban.com/note/693053178/ DevOps Master凤凰项目沙盘总结:通过DevOps实现IT组织转型
https://www.douban.com/note/689504940/ DevOps Master凤凰项目沙盘总结:DevOps起始质量之独孤九剑
https://www.douban.com/note/645016138/ DevOps凤凰沙盘:一场精益敏捷探索之行
https://www.douban.com/note/629890513/DevOps凤凰沙盘:一场百玩不厌的质量感悟
https://www.douban.com/note/630638887/DevOps课后总结之DevOps游戏系列-DevOps的独孤九剑
https://www.douban.com/note/637665261/DevOps Master课程:回忆我与DevOps之父Patrick的交流
https://www.douban.com/note/647732431/ DevOps:10本DevOps推荐书及47个DevOps兼容工具
https://www.douban.com/note/647732431/ DevOps:10本DevOps推荐书及47个DevOps兼容工具
https://book.douban.com/review/9110485/ DevOps:转型从正确地认知开始
https://www.douban.com/note/651734552/ DevOps:从I型人才到E型人才
https://www.douban.com/note/651734953/ DevOps:智能服务台是企业不能缺少的基石
https://book.douban.com/review/8928323/ DevOps布道师:终身学习是终身成长的源动力
https://book.douban.com/review/8820627/ 《把读到的知识转化为能力三步法及完美学习的四步法》
https://www.douban.com/note/643862694/ DevOps Master课程:脚踏实地学Pre-Master,一步一个脚印成为DevOps Master
https://book.douban.com/review/8805640/ DevOps布道师为深度工作写的序:深度工作是心身的一种修练方法
https://book.douban.com/review/8795275/ 咨询基本功:咨询顾问基本功之书面沟通及“补充大餐”
https://www.douban.com/note/643251358/ DevOps定义编年史:通过DevOps定义看DevOps发展
https://www.douban.com/note/637838681/ DevOps应用:光大银行DevOps1.0到DevOps2.0研会
https://www.douban.com/note/639093367/ DevOps应用:民生银行IT一体化管理与自动化发展(1)
https://www.douban.com/note/638965340/ DevOps应用:工商银行DevOps进行时
DevOps Master课程:事半功倍的系统化学习 https://www.douban.com/note/717180422/
https://www.douban.com/note/696842302/ DevOps应用:工商银行DevOps进行时(2018年)
https://www.douban.com/note/722820106/ DevOps Master课程:微软 DevOps的成功之路(送中行DevOps三架马车)
https://www.douban.com/note/641427886/ DevOps应用:DevSecOps云下安全与云等保(云博会内容提前曝光)
敏捷项目管理沙盘:一场随需而变的深度体验(1)https://www.douban.com/note/629584594/
站在IT治理Cobit2019角度看DevOps成熟度(COBIT可申请10PDU) https://www.douban.com/note/729309727/
https://www.douban.com/note/646007197/ 敏捷辩论
https://www.douban.com/note/655617439/ 敏捷服务管理:数字化转型核心
https://www.douban.com/note/696148785/ DevOps Master课程总结:IT运维的昨天、今天、明天(IT运维四大“坑”)
DevOps Master:如何一次通过DevOps Master考试 https://www.douban.com/note/660291760/
DevOps Master:课程总结之变更与DevOps集成 https://www.douban.com/note/660466481/
咨询基本功系列课程
咨询基本功系列第一讲:把读到的知识转化为能力三步法及完美学习的四步法 https://book.douban.com/review/8820627/
咨询基本功系列第二讲:显见是心与学会提问 https://book.douban.com/review/8709052/
咨询基本功系列第三讲:显见不动与信念 https://book.douban.com/review/8524974/
咨询基本功系列第四讲:显见不失与学会讲故事 https://book.douban.com/review/8909761/
咨询基本功系列第五讲:显见无杂与沟通的艺术 https://book.douban.com/review/8573156/
咨询基本功系列第六讲:见性惟真与书面沟通七步法 https://book.douban.com/review/8795275/
咨询基本功系列第七讲:见性无碍与故事思维 https://book.douban.com/review/8471462/
咨询基本功系列第八讲:显见不分与沟通圣经 https://book.douban.com/review/8550605/
咨询基本功系列第九讲:见性超情与深度工作 https://book.douban.com/review/8641784/
咨询基本功系列第十讲:见性离见与完美咨询 https://book.douban.com/review/12493989/
咨询的基本套路、IT咨询基本方法内训课程,欢迎大家收看,收听,收获到咨询的基本功:)
敏捷服务管理系列:如何正确理解ITIL4 https://www.douban.com/note/763416570/
DevOps沙盘总结系列课程
DevOps Master凤凰项目沙盘总结:IT涅槃重生之路 https://www.douban.com/note/681066663/
DevOps Master凤凰项目沙盘总结:“IT业务一体化”驱动业务价值 https://www.douban.com/note/662925305/
DevOps Master凤凰项目沙盘总结:高维度系统化思考 https://www.douban.com/note/703020201/
DevOps Master凤凰项目沙盘总结:履霜坚冰至,转型应自强不息 https://www.douban.com/note/700603657/
DevOps Master凤凰项目沙盘总结:一场精益敏捷探索之行 https://www.douban.com/note/645016138/
DevOps Master凤凰项目沙盘总结:通过DevOps实现IT组织转型 https://www.douban.com/note/693053178/
DevOps Master凤凰项目沙盘总结:DevOps黄金三步法 https://www.douban.com/note/694641377/
DevOps Master凤凰项目沙盘总结:DevOps起始质量之独孤九剑 https://www.douban.com/note/689504940/
DevOps Master凤凰项目沙盘总结:一场百玩不厌的质量感悟 https://www.douban.com/note/629890513/
DevOps Master凤凰项目沙盘总结:DevOps的独孤九剑 https://www.douban.com/note/630638887/
DevOps Master凤凰项目沙盘总结:同理心是DevOps成功关键 https://www.douban.com/note/685838159/
DevOps Master凤凰项目沙盘总结:做最有价值的事 https://www.douban.com/note/681074230/
艾利·高德拉特 “在瓶颈之外的任何地方作出的改进都是假象,在瓶颈之后作出任何改进都是徒劳的,而在瓶颈之前作出的任何改进则只会导致瓶颈处堆积更多的库存。”
【1】精益管理方法的术语
【2】高维度思考法
【附】高德拉特《目标》五个聚焦步骤:
第一步是确认约束点,直到确定那的确是整个部门层面的约束点,对非约束点的任何改进都只是幻觉,得不到实际任何价值;
第二步是利用约束点,寻找突破这些约束的办法,确保不让约束点浪费任何时间,永远不要让约束点迁就别的资源而干等着,而是应该专注于IT运维部对当前所需完成工作中优先级最高的那一项,一直都要这样;
第三步,使企业或部门的所有其它活动服从于第二步中提出的各种措施;
第四步,具体实施第二步中提出的措施,使第一步中找出的约束环节不再是整个部门的约束点;
第五步,回到步骤1,别让惰性成为约束,持续不断地改善;