（文章來源：機房360）

在DevOps中快速行動可能會造成安全漏洞，直到災難來襲之前，這些漏洞才可能被忽略。

急于轉型的組織可以從短暫的停頓中獲益，以避免可能造成意外的、未被注意到的曝光的錯誤配置。目前的趨勢是企業與DevOps一起發展，以加快部署速度。這種倉促可能導致安全漏洞，否則可能會在途中被抓到。StackRox和Packet的專家分析了一些錯誤配置的信號，以及組織如何解決這些問題。

Kubernetes安全平臺提供商StackRox的營銷副總裁Michelle McLean說，許多DevOps團隊的思想和使命是快速推出代碼，以使他們的組織更加敏捷。她說，“這并不意味著開發人員不關心安全性或故意疏忽大意。然而，這并不總是他們首先想到的事情。”

McLean是StackRox最新的《容器和Kubernetes安全性狀況報告》的作者。她說，安全性已經在基礎設施中以多種方式變得更加固有，這為開發周期帶來了新的方法。McLean說，“以前在構建代碼之后就開始運營，而現在需要弄清楚如何確保它的安全。”

她說，在DevOps時代，這種順序被顛覆了，周期的不同部分有時會重疊并造成盲點。McLean說：“所有這些現在都混合在一起，并在相似的時間框架內發生。”當任務是快速行動時，快速發布代碼，可能會遺漏一些內容。”

云計算提供商Packet公司聯合創始人Jacob Smith說，配置錯誤的問題與DevOps的旅程緊密相關。他說，這源于如何通過DevOps自動化與IT管理來部署容器。Smith說：“這是一個不同的工作流程，最大的弱點之一是網絡策略。問題很容易遺漏，因為隨著基礎設施變得越來越多樣化并遷移到云中，配置的規模也越來越大。”

Smith說，來自RedHat、Rancher或VMware的支持工具集可以監視和改善可見性，因此開發人員可以知道哪些容器可以連接到什么容器。他說，容器的相對新穎和快速發展已成為企業的當務之急，這對開發人員來說是一個挑戰。Smith說：“發生的事情太多了，而且變化很快。那是造成混亂的原因;很多剛接觸它的人都會感覺到緊張。DevOps領域的這一部分在過去兩年中迅速成熟，似乎在一夜之間出現了新的需求。”

Smith說：“每個人都必須制定服務網格策略，盡管18個月前還不存在。安全是潛在后果的明顯領域，但是由于配置錯誤而導致的業務效率低下也可能代價高昂。例如，可能有一個容器可能無法控制服務器的情況下，資源分配失控。那是不應該做的一件事。”

McLean強調的關鍵錯誤配置問題之一是，并非默認情況下總是打開所有安全控件。她說，“有了容器和Kubernetes，仍然可以學習到許多具有復雜基礎設施的運動部件。假設開發人員將在某個時候啟用安全控制。”唯一提供獨家研究結果，動手研討會，案例研究，20個小時以上的聯網以及最大的以數據中心為中心的展覽廳的行業盛會。

McLean建議尋找某些難以找到的元素，例如資源是否為只讀或是否可以寫入。檢查是否啟用了基于角色的訪問控制。她說：“這類似于擁有可寫的容器。如果有人獲得了在Kubernetes級別進行更改的許可，將面臨風險。如果可以進入Kube，就可以進入所有資產。”

McLean說，隨著越來越多的企業將他們開發的新應用程序容器化，這種類型的曝光的可能性很可能會增加。她說：“很可能這些是企業一些最重要的業務必備應用程序。這些應用程序可能還會保留客戶數據。這容易犯錯誤。組織應該幫助開發人員做正確的事。”
（責任編輯：fqj）