12、网络安全多领域知识与实践指南

网络安全多领域知识与实践指南

1. DevSecOps：持续安全的时代已至

在信息安全行业摸爬滚打二十年后，技术债堆积如山，促使我深入了解 DevOps。三个月后，我参加了 DevOps 运动十周年庆典，结识了该理念的幕后智囊。

1.1 传统安全审计的困境

传统的安全审计模式下，安全检查在代码完成后依据预设要求进行。审计团队数周后出具数百页报告，高管仅看摘要和结论，问题发现后又需数周才能进入待办事项。这种模式不仅无法为公司目标增值，还可能导致新功能发布延迟，甚至推出不安全的应用程序。

1.2 DevSecOps 的应对策略

为适应云原生应用和自动化威胁的激增，依据 DevSecOps 宣言，我们应像开发者一样，将安全和合规以代码形式呈现，融入持续集成和持续交付（CI/CD）软件管道。具体操作步骤如下：
1. 使安全和合规代码易于快速使用，以促进创新。
2. 分散和自动化漏洞评估，如静态和动态应用安全测试（SASTs 和 DASTs）。
3. 信息安全团队应赋能开发和运维团队，在开发早期快速修复代码，这就是“左移”概念，即“你构建，你保障安全”。

1.3 云原生安全的 4C 架构

云原生安全包含四个层面，即 4C：
1. 代码安全 ：确保代码本身无安全漏洞。
2. 容器安全 ：对于有主机安全经验的专业人员来说，可从 Docker 文档中心开始学习。
3. 集群安全 ：较为复杂，需从学习 Kubernetes 基础开始，可