按设计构建法规遵从性的10个技巧

2.让工程师直接负责保护环境

Matt Wells说，“在特殊情况下，我们正在构建一个完整的云平台，并且我们负责该平台的安全性。能够尽早设定期望，也就是说，‘这很重要：如果想加入这个团队，将会使用一些非常好的技术，但是要对安全负责，要对合规性负责。如果没有通过审核，那将是我们的团队责任，而不是安全团队或合规性团队的责任。'”

3.在云计算工程团队和安全团队之间建立紧密的联系

Scott Schwan说，“我们确保从一开始就真正与安全领导保持一致。我确实相信DevSecOps的基本原则，因此，如果工程团队了解他们正在建立的要求，他们可以对自己的职责负责这样做，不再是安全团队在项目的最后阶段突然涌入，并试图更改或阻止它们，因此，文化转变的一部分是确保我们在团队之间建立信任。”

4.在构建之前定义安全性程序和要求

Matt Wells 表示，“我们从安全团队那里收集了要求，并且从业务组那里收集了必须支持的地理区域的合规性要求。我们拥有了必须遵守的所有合规性标准，这些标准有不同的要求。从那里我们定义了程序，那么我们要如何给服务器打补丁呢?我们将如何采用容器并部署代码?

我们认为在扩建之前设置这些程序很重要，因为随着工程师扩建基础设施，有时这些程序会影响他们构建某些技术的方式。对我们来说，这就是设计阶段。”

5.将安全专业知识嵌入并培训工程团队

Matt Wells 表示，“在设计之后，我们大量招聘工作人员，需要获得一些短缺的技能，因此我们雇佣了一批安全人员、开发人员和运营人员，结果发现需要的开发人员比安全人员和运营人员多得多。我们非常专注于自动化和规模化，因此发现让开发人员参与进来更容易，让安全人员和运营人员与他们一起工作，定义开发人员将如何构建许多这些功能。我们并不是直接聘用专业安全人员，而是通过培训开发人员使他们成为安全人员。”

6.遵照法规自动加固环境

Matt Wells 表示，“对我们来说，一个主要原则是自动强化我们构建的所有内容。我们要做的第一件事是我们使用Terraform自动化配置和强化AWS账户。我们花了一周的时间使用Terraform来构建AWS账户，而不是花一天或几个小时来构建AWS账户、设置日志记录、密码策略等。但是从长远来看，每次我们在AWS账户中设置新内容时，不必对工程师说，‘是否设置了密码策略?’或者，“日志要去哪里?”我只想说，‘运行Terraform脚本进行加固了吗?现在我们可以继续工作。’”

（编辑：漯河站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!