在 DevOps 中,安全一直是难以优先考虑的问题,但保护资产和确保容器及其环境的安全至关重要。随着网络威胁战术和新兴技术(如人工智能和后量子计算)的不断发展,开发人员和 IT 领导者在保护其环境的同时还要努力保持其管道的正常运行,这一点显得尤为重要。
DevOps 左移方法的出现,部分是为了应对这些日益增长的威胁左移方法是围绕 DevOps 提出的一种理念,旨在将更多精力放在 DevOps 管道的 "左侧",并与DevSecOps的发展实践齐头并进,后者旨在将安全集成到整个管道中,而不仅仅是将其标记在操作阶段的末端。
公钥基础设施(PKI)是左移安全和 DevSecOps 实践的关键组成部分,允许开发人员使用自动化工具和协议将安全完全集成到他们的管道中。有效实施 PKI 是抵御日益增长的网络安全威胁的关键工具。
用于 DevOps 的 PKI
公钥基础设施(PKI)是一种非对称加密系统,也是数字证书的基础,它利用公钥和私钥的组合提供安全的数字通信。PKI 为数据传输创造了一个安全的环境,确保了发送方和接收方之间的信任,具有广泛的用途。
就 DevSecOps 而言,PKI 安全允许开发人员在整个流程中集成安全并实现自动化,确保资产、容器的安全,执行有效的密钥管理,验证用户和数字身份,并通过监控和保护工具链漏洞,在测试和发布阶段实施有效的安全措施。
不过,软件开发人员主要使用和管理 TLS 证书来维护容器安全。开发人员经常使用云容器和开源软件,这虽然很方便,但也造成了许多漏洞,而这些漏洞正是威胁行为者不断试图利用的。这就使得有效的 PKI 解决方案和管理成为 DevSecOps 实践的一个基本要素。使用由证书颁发机构部署的可信 TLS 证书、强大的证书生命周期管理 (CLM) 和自动化工具可确保容器的安全性,防止数据泄露,并能做出快速响应,尤其是在出现零日漏洞的情况下。
PKI 还有助于保持对源代码的安全访问,在这种情况下,对资源库和文件的访问仅限于特定身份,还有助于使用代码签名管理源代码的加密和解密及其软件。
然而,由于需要快速部署,开发人员在整个流程中实施有效的 PKI 和集成安全性可能会面临挑战。由于大多数开发人员都不是 PKI 或安全专家,软件和开发行业普遍存在的技术差距使问题变得更加复杂。
这就是为什么软件开发商必须与值得信赖的安全提供商合作来提供 PKI 解决方案。合适的供应商不仅能提供有效的自动化解决方案,在证书的整个生命周期内对其进行管理,确保容器和密钥的安全,还能为这些解决方案的正确部署和配置提供全面的支持和专业知识。
安全管道自动化
在管理复杂的环境和管道时,开发人员需要大规模部署证书。在这种情况下,证书生命周期管理和密钥管理可能会成为开发人员的负担,如果我们考虑到行业内安全专业知识的市场缺口,情况就会更加严重。因此,开发人员需要依靠自动化解决方案和可信赖的提供商来减轻负担,缩小开发人员与安全专家之间的差距,以确保在整个管道中成功集成安全功能。
这些都是开发人员用来实现安全自动化和缩小差距的一些工具:
- Kubernetes证书管理器:用于 Kubernetes 集群的云本地证书控制器。GlobalSign 的 Atlas Issuer for cert-manager 通过可信的 TLS 认证帮助确保 Kubernetes Ingress 容器的安全,并实现安全的 pod-to-pod 通信。
- ACME服务: GlobalSign的ACME协议服务可自动管理域验证和证书签名请求 (CSR),从而无需域验证即可签发可信 DV 和 OV TLS 以及非公开 IntranetSSL 证书。 ACME 与持续集成和持续部署(CI/CD)管道完全兼容,可实现项目构建、测试和部署的自动化。
- Hashicorp Vault: 通过GloablSign的数字身份平台Atlas,实现快速可信的TLS证书供应,同时遵守政策,提供加密灵活性、简化的证书生命周期管理、安全的密钥生成和管理以及秘密管理。
- Venafi: GlobalSign与Venafi的集成通过与DevSecOps CI/CD管道和工作流中使用的容器化、协调、配置管理和机密管理工具的集成,实现了证书生命周期管理的自动化。
软件开发人员可以利用这些自动部署和容器协调服务,为软件包、微服务和容器提供无缝证书签发,并确保证书签发和部署到正确的容器、机器和实体。
与可信的证书颁发机构(CA)合作
在利用 PKI 和自动化实现 DevSecOps 管道时,与可信的证书颁发机构合作是最重要的一步。GlobalSign 等值得信赖的 CA 不仅能提供保证管道安全所需的全面解决方案,还能提供实施这些解决方案所需的支持和专业知识。
GlobalSign 是一家受公众信赖的 CA,在管理和实施基于 PKI 的解决方案方面拥有超过 25 年的经验,涉及多个行业和使用案例。GlobalSign 提供广泛的自动化 PKI 解决方案,如证书自动化管理器(Certificate Automation Manager),它提供与 API 集成的自动化证书供应和管理,减轻了与 TLS 证书供应相关的大部分负担,并为其集成提供全面支持。
诸如此类的解决方案对于为 DevOps 环境、其管道和容器编排、管理和安全提供安全性至关重要。GlobalSign 的支持和专业知识也是高效实施和集成这些解决方案的关键所在,在为安全规划创建强大框架的同时,还能缩小 DevOps 环境中的安全差距。
有效的 PKI 解决方案是安全 DevOps 管道的必要条件
实施 DevOps 安全左移方法需要大量的规划和资源利用,但自动化解决方案可以减轻在 DevOps 环境中工作的安全专家的负担,减少潜在的资源消耗。不仅如此,有效的安全规划和自动化解决方案还能增强 DevOps 管道的安全性,防止威胁行为者利用漏洞,从而防止漏洞入侵,保护数字资产和软件推出的业务连续性。
软件开发行业必须利用他们所掌握的工具,从自动化和左移 DevSecOps 实践开始,继续弥合当前行业内普遍存在的技能和安全差距。DevOps 理念的提出是为了简化开发流程,提高效率,从而加快产品的高速交付,减少错误和漏洞。采用 DevSecOps 和左移实践是采用高效 CI/CD 管道的下一步,需要可信的证书颁发机构提供有效的 PKI 解决方案,以确保安全、受到保护并取得成功。
