越来越多的组织机构开始采取 DevOps 实践,作为呼应,本文将概括强调很多人认为这一实践缺失的部分:安全。随着 NV (网络虚拟化) 和 NFV (网络功能虚拟化)的使用率逐步攀升,在开发和部署流程中创建可程序化、可重复进行的安全管理已经成为现实。
OpenDaylight participants、思科 ACI、VMware NSX、Nuage Networks以及其他众多服务商提供的动态、抽象的网络特性开启了一扇新的大门,使安全能够成为应用生命周期管理(ALM)的一部分。基础设施即代码这个短语恰如其分地描述了我们需要的东西。基础设施配置需要扩展到应用环境以外的领域。
NFV:通向 DevSecOps 之门
网络虚拟化并不是 DevSecOps 的终极目标,只是其中的一小部分。启动 L2/L3 网络流量已经给数据中心愈发敏捷的实践带来了极大的提升。机房环境和云环境都已经从这些程序化管理网络的新方法中受益。再次提醒大家,数据流其实只是网络虚拟化带给我们的便利中极小的一部分。
再往上到堆栈的4-7层,就到了 NFV 大显身手的时候了。从纯运营的角度来看,NFV 带来了我们渴求的程序化、可预测的部署和管理。在常规数据中心管理中常用的配置管理工具(例如 Chef、Puppet 和 Ansible),现在已经扩展到了网络领域。这似乎也是 NFV 存在的理由。不过故事远不止这些。
NFV 可能会让人困惑,因为它在 L2/L3 管理上会混乱不清,不过它其实主要用于管理应用网关、L4-7 防火墙、负载均衡器等其他功能。NFV 让这些功能虚拟化,并缩短了它们与实际工作负载间的距离。
NV 和 NFV 是安全工具,而非网络工具
当谈到 NV 和 NFV 时,我们应该扩大视野,考虑全局。所有通过创建程序化部署和管理取得的成就似乎主要针对 DevOps 式的交付。DevOps 经常被当做加速应用开发的一种方法,然而在谈论网络和经常提到的 DevSecOps 方法论时,速度和敏捷只是全局的一小部分。
实际上,NV 和 NFV 其实是安全工具,并非网络工具。这听起来的确挺奇怪,不过还是想想 NV 和 NFV 实际为我们带来了什么吧。
当我们启动网络层的程序化管理时,我们同时也启动了其他一些强大的功能,包括审查 L2-L7 配置的安装和运营。清楚地知道整体 L2-L7 环境何时发生了什么样的变化,这让所有的信息安全同仁们露出了笑颜,他们也的确应该开心。
西方-东方成为新的信息高速公路
也许数据中心或云的东西方交通并非超级高速,但是在接下来的几年乃至更远的将来,它将成为最繁忙的通道。随着扩展应用程序成为主流设计模式,在虚拟组件之间、防火墙背面以及嵌套、虚拟网络中将会传输越来越多的数据。
关于以这种方式传输的实际流量的数据和例证有很多,不过不管你选择参考哪种预测,数额都是惊人的。这也是使用 NV/NFV 促成的增长。
无论我们用何种原因来论证 DevSecOps 将会成为新的数据中心和云实践的一部分,它都将不可避免地成为现实。唯一的疑问就是我们用多长时间能将它纳入标准运营流程。
正当你以为自己身陷 DevOps 困境时,笔者又给你增加了一个新概念。别担心,这些都是好东西,你很快就能弄明白。相信我,因为我会帮你完成这个旅程。
如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。想阅读更多技术文章,请访问 OneAPM 官方技术博客。
本文转自 OneAPM 官方博客
