随着云计算技术在各行各业的发展与突破,以及产、学、研生态链各环节持续不懈的“化云为雨”的努力,云计算的应用与价值挖掘已全面渗透到企业数字化转型变革的方方面面。
各行业和企业依据自身业务现状、竞争形势与信息化变革程度的不同,不断持续深化企业IT云化的程度,并从一个里程碑走向下一个里程碑。
过去一年,人们看到越来越多企业加速数字化转型的案例。全球知名咨询机构McKinsey表示,如今企业已经到了一个需要调整业务运营的临界点。
使用基于微服务、容器和Kubernetes的多云环境和云原生架构将是数字化转型的核心。虽然这些方法无疑有助于DevOps团队推动数字敏捷性和更快的交付,但它们也为应用程序带来了新的安全挑战。
云计算自动化需求凸显 ,DevOps将在未来十年成为主流
云计算服务让企业按需访问资源变得更容易,但却没有对其进行更好地管理。
想象一下,企业必须自己配置虚拟机、创建虚拟机集群、设置虚拟网络以及管理可用性和性能。而采用自动化技术将会轻松完成所有这些任务。
云计算自动化是一组流程和工具,可以减少企业的IT团队在配置和管理云计算工作负载和服务上花费的精力和时间,并且可以将云计算自动化应用于私有云、公共云或混合云。此外,人工进行云部署可能会产生一些安全漏洞,从而使企业的业务面临风险。而采用云计算自动化有助于降低基础设施和技术堆栈的可变性和复杂性。
根据IDC对DevOps的最新市场研究显示,到2022年,DevOps市场规模预计将从29亿美元增至80亿美元,这将为开发者和用户带来更多好处,从而在未来十年里成为主流技术。
依靠自动化服务器的开发和创建以及操作系统的加载,云计算自动化通过使用代码管理基础设施,可以使企业更快提高自身的扩展能力。将基础设施即代码与部署自动化结合在一起,企业可以在独立基础设施上快速地启动不同版本的应用程序。
同时,使用云计算自动化,企业可以利用预定义的身份访问模板、脚本和管道来减少管理开销并提高效率。
此外,使用管道和脚本,应用程序部署自动化为企业提供了通过按下按钮构建、测试和部署应用程序的能力。
此外,使用云计算自动化与监视、警报和修复相结合,企业可以定义一旦达到特定事件或阈值时触发的自动化工作流。
当云计算自动化有助于简化上述流程时,IT运营人员可以自由地专注于配置和其他高价值的任务,并且开发人员可以立即精简和部署软件。
这消除了开发人员和运营人员之间的紧张关系,也消除了企业在培训员工方面投入大量资金的需求。
自助服务和控制的新水平使这两个团队能够快速有效地协作以部署新解决方案。
传统工具存在安全盲区,DevSecOps为云计算自动化保驾护航
随着微服务、容器、Kubernetes、多云环境等多种技术以及DevOps的发展,如何保障业务安全成了安全部门大的难题。
由于传统云计算技术是为不同的时代而设计的,特点是静态基础设施和单体应用程序,其已经无法跟上云计算迅猛的发展步伐,在安全方面更是捉襟见肘。
针对云计算自动化领域的安全治理问题,Gartner提出了DevSecOps概念。简言之,DevSecOps是一种旨在将安全性嵌入DevOps链条中的每个部分新方法,它有助于在开发过程早期而不是产品发布后识别安全问题,目标是让每个人对信息安全负责,而不仅仅是安全部门。
DevSecOps的出现,将安全作为管理对象的一种属性,从软件供应链开发早期开始进行全生命周期的安全管理,标志着软件供应链的安全保障进入到一个全新的时代。
据权威调查显示,超过六成的开发者和运营专家认为把安全融入DevOps已成为重中之重。RSA 2020发布趋势表明,DevSecOps再次成为业内外关注的焦点之一。
很多企业的首席信息安全官(CISO)表示,希望DevOps和应用程序团队对漏洞管理承担更直接的责任。事实上,许多人认为DevSecOps和安全性“左移”是降低风险的最佳和具成本效益的方法。
然而,现有的工具和流程会让这些团队失望,因为并没有时间进行人工扫描,通常缺乏承担安全责任所需的技能,并且没有足够快地检测关键漏洞的能力。
一些DevOps团队甚至完全绕过安全控制,而另一些团队则拒绝与安全团队合作,因为担心采取这些步骤会减缓交付时间。
为了克服这些挑战并消除团队成员的负担,企业需要能够自动识别应用程序中的漏洞。
如果他们能够在运行时自动化测试,就不用额外增加DevOps团队的工作。
通过将漏洞数据与运行时环境的知识(例如相关代码是否暴露在互联网上)相结合,DevSecOps团队可以获得他们需要的所有场景,以实时了解问题的原因、性质和影响,从而使团队可以有效降低风险并加速业务发展和创新。
企业要想使安全能力跟上现代云原生应用程序环境,唯一的方法就是用这种更加自动化的方法取代人工部署、配置和管理。
这不仅有助于企业免受云原生面临的威胁,而且还使他们能够在后疫情时代推动更可持续的业务增长。