DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

云盾高防采集_抗ddos攻击解决方案_打不死

06-29 DDOS防御

云盾高防采集_抗ddos攻击解决方案_打不死

在过去的10年里,软件开发方法已经发生了显著的变化。在许多公司,敏捷已经超过瀑布式开发模式,成为首选的开发模式。此外,开发团队现在可能有自己的基础设施操作在开发团队内部工作,DevOps指的是一组实践,这些实践强调软件开发人员和IT/基础设施专业人员的协作和沟通,同时自动化快速、可靠的软件交付和基础设施更改过程[1]。向敏捷流程的过渡可能不会一直适用于整个组织。传统的支持功能,如IT,其中CISO经常在组织上保持一致,可能没有改变自己的流程以跟上这些内部客户不断变化的需求。那么,传统的CISO指导和长期安全策略在这个通过基础设施作为代码进行持续开发和部署的敏捷世界中适合哪里呢?CISO面临着适应这种变化环境的挑战,或者面临被遗忘的风险,无法评估公司软件的安全性。人、过程和技术。专注于其中的一个或两个会让组织变得脆弱"[2]。那么,为什么许多组织中的开发人员、DevOps实践者和产品所有者很少与CISO及其团队进行交互呢?是因为开发人员认为安全团队进展缓慢还是阻碍了进展?这当然是有可能的:最近的一项DevOps行业调查发现,65%的安全性受访者同意安全性被视为DevOps敏捷性的阻碍因素[3]。

CISO及其团队可以帮助缓解这种看法。最近一份傀儡州DevOps的报告说,高性能团队花费较少的时间解决安全问题,因为他们在开发过程的每个阶段都解决安全问题,而不是在最后试图改进安全性。事实上,在开发过程的早期添加InfoSec是DevOps团队希望关注的5大优先事项之一[4]。

因此,这似乎是CISO与其DevOps同事合作的最佳时机。

CISO可以采取哪些简单步骤来增加有效的互动和驱动力这种文化最近被称为DevSecOps?

支持DevOps使用云服务。在许多公司,尤其是CISO是IT组织的一部分的公司,他们可能已经注意到了采用DevOps文化和增加使用云服务之间的关联。通常,DevOps基础设施集团更愿意与功能丰富的AWS或其他基于云的服务提供商集成,服务器防火墙,而不是内部开发或管理的IT平台。CISO不应仅仅希望开发人员不会将公司的数据置于未知的基于云的测试和生产基础设施的风险之中,而应发布明确而实用的标准和指南,说明哪些云提供商可以使用,如何以及在何处处理数据以满足GDPR等法规的要求,源代码是否可以存储在云中,以及需要采取哪些步骤来确保安全性和法规遵从性。保持这些文档简单、最新,并在起草文档时征求DevOps团队的意见,以确保确定当前的使用情况。接受持续集成和交付。当瀑布是镇上唯一的游戏时,在主开发计划中插入手动安全检查是很容易的。也许一个接一个的阿尔法,另一个围绕着贝塔,怎么选择ddos防御大小,也许还有一个五度测试。工具不需要集成,甚至不需要以任何方式连接到整个开发工具链。可以指派某人进行扫描,并生成令人印象深刻的报告,以便在主项目清单上标记适当的完成复选框。由于能够基于功能积压每天进行多个构建和部署,因此需要依赖集成的轻量级安全工具,这些工具在整个过程中是无缝的,不会造成瓶颈。对于CISO来说,好消息是,所有这些过程都是脚本化和自动化的,局域网ddos攻击防御,并以事件日志和所有者的形式留下非常明显的证据。如果正确地启用了这种自动化,DevOps就更容易在开发和生产之间进行可审计的角色分离。让我赚大钱取决于您的组织,如果建议开发团队使用特定的工具,那么值得记住的是,其中许多工具可能会达到六位数的数量。在许多情况下,这些都不是由开发负责人编制的预算,可能需要做出艰难的选择,以平衡infoseccompliance与开发人员的衡量标准,即准时、高质量的产品交付。有时,由于成本原因,必须使用廉价或免费的替代工具,而不是昂贵、全面的替代工具。这些更便宜的工具可能无法像更好、更昂贵的工具那样缓解漏洞。如果CISO能够带来一些资金,阿里云cdn能防御cc跟d吗,它通常可以使风险缓解的首选解决方案更容易接受。参与进来。根据敏捷在公司中的实施方式,通常每两周会有一次活动或Sprint演示。对于所有感兴趣的涉众来说,这是一个机会,可以看到在上一个sprint中已经完成了什么,并提供输入或指导。对于CISO或其团队来说,这是一个绝佳的机会,可以实时了解正在发生的事情,并从安全性和法规遵从性的角度对可能缺少的内容提供领导。许多团队甚至记录了他们的Sprint演示,他们可以离线查看——让您的开发团队看看在您工作的地方是如何处理的。成为产品所有者的朋友。在敏捷开发中,服务器ddos防御软件,除非某个特性或需求在产品backlog中,否则它将不会被执行。CISO可以与拥有主积压工作的敏捷产品负责人合作,解释安全的重要性,并协作向主产品积压工作中添加特定于安全的EPIC。CISO还可以建议最终验收必须满足哪些标准。指挥一支冠军军队!我在许多公司看到的一个好主意是,在每个主要的开发团队中都有一个开发人员被指派担任安全拥护者的角色。通过让这些冠军参与进来,CISO可以围绕挑战进行更集中的对话,一个征求意见的机会,一个确定团队的机会,这些团队可以尝试新的方法,并从自下而上推动变革。

我希望这个博客能给CISO一些关于如何与开发和基础设施运营团队协作的想法。我很欢迎您的反馈和意见,这些反馈和意见对您很有用,您可以尝试不同的方法来确保您的开发组织的安全。

参考资料

[1]什么是DevOps:Wikipedia

[2]OWASP CISO AppSec指南:应用程序安全程序

[3]XebiaLabs:安全是DevOps敏捷性的一个障碍–DevSecOps

[4]Puppet:State of DevOps Report 2016

作者最近发表的文章Kudelski Security TeamKudelski Security是一家为企业和公共机构量身定制网络安全解决方案的创新和独立提供商。Kudelski Security是Kudelski集团(SIX:KUD.S)的一个部门,该集团在全球33个国家拥有近4000名员工。该公司在亚利桑那州凤凰城和瑞士洛桑河畔的Cheseaux设有双总部,并在苏黎世、明尼阿波利斯、达拉斯和亚特兰大设有办事处。Kudelski安全团队的最新帖子(见全部)Microsoft Type 1字体解析关键0天远程代码执行漏洞-2020年3月24日COVID-19网络安全问题-2020年3月18日全球网络安全展望:Andre Kudelski在世界经济论坛-2020年2月19日

FacebookTwitterEmail分享

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/70471.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 9321353访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X