金融機構如何規避DevOps安全風險？權威報告給了幾組數據

數人云以前給你們分享了DevOps基礎設施的建設《樂高的關鍵在於底盤，DevOps成功的關鍵在於基礎設施》以及DevOps的指標問題《小心DevOps虛假指標》，今天再來跟你們聊聊安全性的問題。

如下是Venafi發佈的一組分析報告，DevOps的優點很明顯，同時安全問題也不容忽視，若是進一步優化，那麼對於DevOps模式來講更是如虎添翼，也會更快速的推動DevOps實踐落地。

Venafi發佈了一項報告關於金融機構實踐DevOps加密安全問題。在DevOps環境中，研發和測試協做產生的相關問題，會擴散到生產系統和應用程序中，所以放大了安全問題。對於早期實踐DevOps的金融機構的來講，是特有的問題。

研究指出，許多金融機構的系統都有至關強大的密碼安全策略，然而，在DevOps模式中，如此重要的措施卻沒法執行。此外，金融機構一旦使用DevOps，涉及到應用和更新方面的運行會使得漏洞更易出現，而這些漏洞本來是能夠預防的。

「在當今高度競爭的市場，金融機構使用DevOps模式提供了新功能且改善了用戶體驗。」Venafi首席安全策略師Kevin Bocek說，「然而，DevOps在安全、數據隱私和聽從性方面缺少競爭優點。很明顯，從手機銀行到高速交易等方方面面，許多金融機構仍在執着於保護機器ID。儘管DevOps團隊代表他們已經意識到TLS/SSL密鑰和證書用普通方法創建ID會產生風險，但這種認識並無被轉換成實際意義上的保護。」

調研數據

• 一直以安全爲第一要務的金融機構正在與DevOps模式進行互搏。近三分之一（30%）的金融機構在實踐DevOps時，所執行的密碼安全策略不一致。此外，7%的受訪者不肯定這些舉措是否能橫跨DevOps和生產環境。

• 絕大多數（80%）的金融機構的DevOps團隊意識到密鑰和證書遭受網絡攻擊的次數及程度的重要性，而這其中三分之二（67%）的團隊都認爲網絡攻擊須要控制和預防。

• 只有一半（51%）的金融機構全線替換了DevOps證書。當證書沒有改變時，沒有辦法區分哪些是未經測試的機器，哪些又是能夠投入運行的安全機器。

• 從積極的一面來看，金融機構一般有強大的密碼安全性實踐，有75%的金融機構要求高規格的密鑰（2048位甚至更多），60%機構的開發和生產環境須要不一樣的證書，使人備感欣慰的是，只有2%的受訪者表示，他們機構不須要密鑰和證書的政策。

• 隨着DevOps的高速發展，特別是在金融機構的發展中對加密機器需求呈爆發式增加。若是沒有強大的安全措施和實踐，DevOps密鑰和證書仍然容許攻擊者隱藏在加密流量中逃避檢測從而進行攻擊。根據A10網絡最近的一份報告顯示：41%的網絡攻擊都是來自加密流量而逃避檢測產生的。

Venafi的情報分析師Tim Bedard說「正如咱們所看到的快速攻擊（SWIFT attacks），金融機構對網絡罪犯而言是一個頗有吸引力的目標，若是DevOps團隊提供給金融機構的密鑰和證書都沒有獲得充足的保護，那麼網絡罪犯就可以利用SSL/TLS加密密鑰和證書建立本身的加密通道。或者攻擊者能夠盜用SSH密鑰內的網絡，來提高本身的訪問權限，在不被發現的狀況下， 安裝惡意軟件或將企業的敏感數據大量泄漏。」

原文連接：https://appdevelopermagazine....

原文做者：Christian Hargrave、Assignment Editor