分享好友 资讯首页 频道列表

在云计算架构中按设计构建法规遵从性的10个技巧

2021-11-29 16:476000

  几年前,星巴克公司曾要求合规性自动化初创厂商Shujinko公司的创始人Matt Wells和Scott Schwan为其构建必要的团队和流程,以支持星巴克公司开发的移动应用程序,采用完全符合支付卡行业 (PCI) 的安全云架构,并根据互联网安全中心(CIS)制定的标准进行衡量。

  Shujinko公司首席技术官Matt Wells解释说,“我们公司的20名工程师在大约9到12个月的时间里构建了一个高度自动化、可扩展、可重复的环境,星巴克公司可以用来支持他们想要推出的所有产品,他们以此为基础然后开始将其他应用程序移至公共云。”

  Shujinko公司首席技术官Matt Wells和首席执行官Scott Schwan深入研究了他们为星巴克的工作细节,并分享了有关如何将合规性纳入企业的云计算架构以及在此过程中扩展DevSecOps的技巧。在此采用了他们自己的语言提出一些见解。

  1.将合规要求放入“完成”的定义中

  Matt Wells说,“对于一个工程团队来说,将合规性要求纳入‘完成’的定义中是非常重要的。很多时候,团队没有及早地开始对话和进行讨论。因此,‘完成’的定义没有包括与法规遵从性或安全性相关的内容。因此,为团队建立这种联系极为重要。”

  2.让工程师直接负责保护环境

  Matt Wells说,“在特殊情况下,我们正在构建一个完整的云平台,并且我们负责该平台的安全性。能够尽早设定期望,也就是说,‘这很重要:如果想加入这个团队,将会使用一些非常好的技术,但是要对安全负责,要对合规性负责。如果没有通过审核,那将是我们的团队责任,而不是安全团队或合规性团队的责任。'”

  3.在云计算工程团队和安全团队之间建立紧密的联系

  Scott Schwan说,“我们确保从一开始就真正与安全领导保持一致。我确实相信DevSecOps的基本原则,因此,如果工程团队了解他们正在建立的要求,他们可以对自己的职责负责这样做,不再是安全团队在项目的最后阶段突然涌入,并试图更改或阻止它们,因此,文化转变的一部分是确保我们在团队之间建立信任。”

  4.在构建之前定义安全性程序和要求

  Matt Wells 表示,“我们从安全团队那里收集了要求,并且从业务组那里收集了必须支持的地理区域的合规性要求。我们拥有了必须遵守的所有合规性标准,这些标准有不同的要求。从那里我们定义了程序,那么我们要如何给服务器打补丁呢?我们将如何采用容器并部署代码?

  我们认为在扩建之前设置这些程序很重要,因为随着工程师扩建基础设施,有时这些程序会影响他们构建某些技术的方式。对我们来说,这就是设计阶段。”

  5.将安全专业知识嵌入并培训工程团队

  Matt Wells 表示,“在设计之后,我们大量招聘工作人员,需要获得一些短缺的技能,因此我们雇佣了一批安全人员、开发人员和运营人员,结果发现需要的开发人员比安全人员和运营人员多得多。我们非常专注于自动化和规模化,因此发现让开发人员参与进来更容易,让安全人员和运营人员与他们一起工作,定义开发人员将如何构建许多这些功能。我们并不是直接聘用专业安全人员,而是通过培训开发人员使他们成为安全人员。”

  6.遵照法规自动加固环境

  Matt Wells 表示,“对我们来说,一个主要原则是自动强化我们构建的所有内容。我们要做的第一件事是我们使用Terraform自动化配置和强化AWS账户。我们花了一周的时间使用Terraform来构建AWS账户,而不是花一天或几个小时来构建AWS账户、设置日志记录、密码策略等。但是从长远来看,每次我们在AWS账户中设置新内容时,不必对工程师说,‘是否设置了密码策略?’或者,“日志要去哪里?”我只想说,‘运行Terraform脚本进行加固了吗?现在我们可以继续工作。’”

  7.自动化护栏

  Scott Schwan说,“我们使用了可以扫描新环境的支付卡行业 (PCI)要求的供应商。因此,在运行脚本后,我们立即运行并向他们提供了报告。如果他们仍然遇到支付卡行业 (PCI)方面的问题,我们将确保返回进入sprint,然后将它们添加到Terraform中的基础设施代码中,然后下次进行设置时,他们将不会遇到类似问题。

  这是在AWS拥有他们现在拥有的一些工具和服务之前。在此之前,我们必须构建它,因为那不是他们所拥有的东西。我们确保将其纳入团队的精神之中。当时是,使用CIS基准测试,获得良好的反馈,迅速进行补救,将其重新添加到其代码中。”

  8.将基于合规性的测试构建到单元测试中

  Scott Schwan说,“我们总是必须验证是否在运行合规代码,其中一部分是通过基于合规性的测试。我们始终确保不会因为尽快行动而破坏合规性。

  我们开始为代码编写单元测试,不仅是针对功能的单元测试,还涉及安全性和合规性。我们希望确保团队每次部署新服务时都在测试合规性标准。他们是否设置了密码策略,是否启用了日志记录?它是跨功能的。编写这些单元测试的不仅仅是安全工程师。团队队员对此也需要负责。”

  9.尽可能使用云原生控件

  Matt Wells 表示,“我们在这里所做的一件事是尽可能使用云原生控件。云原生并不是说在云中提供控件。而是使用了构建于云中的控件,有时这意味着来自云计算提供商,有时则意味着来自供应商。这完全取决于情况。”

  10.让工程师在差距评估中扮演重要角色

  Matt Wells 表示,“在构建阶段结束时,我们专注于完成程序,以确保认为可以正常工作的东西有效。在大多数情况下可以实现,但是在某些情况下,我们必须更改程序。最重要的是,我们实际上已经完成并验证了程序。

  这需要进行差距评估工作,我们把它交给构建它的工程师,并在团队中分散了评估责任。他们比其他人更了解环境,因为他们拥有它的所有权,并且会说,‘是的,我们确实存在差距,我们必须解决这个问题。’”

(采编:www.znzbw.cn)

免责声明:

本网转载并注明自其它来源(非智能装备网)的作品,目的在于传递更多信息,并不代表本网赞同其观点或和对其真实性负责,不承担此类作品侵权行为的直接责任及连带责任。其他媒体、网站或个人从本网转载时,必须保留本网注明的作品第一来源,并自负版权等法律责任。如涉及作品内容、版权等问题,请在发布之日起十五天内与本网联系,否则视为放弃相关权利。

反对 0
举报 0
收藏 0
打赏 0
评论 0

相关资讯

人工智能如何改变云计算以及还存在哪些潜在缺点?
人工智能正在加速云计算的采用,同时也使云提供商能够增强平台解决方案和服务。大多数人工智能解决方案要么是由云超大规模企业直接提供的服务,要么是构建在超大规模企业云基础设施之上的解决方案。

0评论2023-10-25459

科箭TMS云为Babycare打造Z时代数字化运输管理平台
Babycare是设计师创立的母婴品牌。秉持“为爱重新设计”的品牌理念,不断发现并改变行业中存在的不合理。以父母之心重新设计每一个产品,定义Z时代人群新的孕婴生活方式。目前,Babycare的产品已覆盖了母婴行业的33个二级类目,近600个三级类目,在全渠道拥有4500万用户、1000万会员,天猫

0评论2022-10-26434

传甲骨文云计算部门正在裁员
据外媒Business Insider报道,继8月份大规模裁员后,甲骨文再次悄悄裁员,裁员规模尚不清楚,但将主要影响到甲骨文的云计算(NACT)部门。

0评论2022-10-26439

6G网络有最新动向,中国移动重磅发声,意味着什么?
虽然5G网络在全球还处于普及期,但一些国家已经提前酝酿布局6G技术。而中国的6G技术进展情况尤其受关注。刚刚,中国移动最新白皮书提出了首个系统化6G网络架构设计。

0评论2022-06-22173

华为为巴西打造第一座5G智能制造工厂
近日,巴西第一座5G智能制造工厂在容迪亚伊开业。该厂区配备了AI、云计算和物联网等技术,而为工厂智能建设提供技术支持的是华为公司。

0评论2022-04-12179