技術與實務

前言 隨著企業提升響應市場變化的速度，不管企業的規模為何，抑或屬於哪一種產業，DevOps 儼然成為現代 IT 的重要典範。但在快速迭代的業務發展下，由於傳統的安全治理較為繁瑣，也使企業在導入 DevOps 的過程中，從需求、設計、實作，到後續的監控和改善，較難看見充分的安全實踐，組織亦缺乏在每個流程階段，衡量當前安全的成熟狀況。 什麼是 OWASP DSOMM？ DSOMM 2 的全名為 DevSecOps Maturity Model（DevSecOps 成熟度模型），或許大家較耳熟能詳 OWASP 的另一個軟體安全的成熟度模型 SAMM（Software Assurance Maturity Model，軟體保證成熟度模型），SAMM 針對五個業務功能（治理、設計、實作、驗證、維運）定義了一系列的安全實踐及評量指標，協助組織將安全覆蓋至全軟體開發生命週期。SAMM 為較高層級的規範性模型，而 DSOMM 則為更具體的 DevSecOps 實踐。

安全的運行環境對於雲端服務來說，是個重要的議題，而對於使用者來說更為重要。 因此，對實體或虛擬主機進行弱點檢查與監測，能為雲端服務提供一個安全的基礎，也能滿足組織對於資安的基本要求。然而，安全威脅多樣，且各式作業系統的組態設定又各有巧妙，要如何才能有效率地完成這個工作，對於維運人員來說是相當令人頭疼的事情。 SCAP2 (Security Content Automation Protocol) 是由美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST3)所維護與制定的協定，主要用意是為主機的組態設定與安全需求提供一個共同交互與發展的基礎。同時也為 NIST 800-53 關於運行主機的安全要求與最佳實踐提供一個自動化的基礎。 OpenScap4 則是基於 SCAP 的具體實作，它主要透過使用 SCAP 裡的 XCCDF5(Extensible Configuration Checklist Description)與 OVAL6(Open Vulnerability and Assessment Language)。XCCDF 透過 XML 形式的描述語言具體地提供評估與檢查一個主機時，應該進行的項目列表。測項可能是一些安全需求下的組態設定的檢查，也可能來自 OVAL 所識別的弱點測試。

作為基礎設施的工具，Pulumi 主要可以採用以下三種方式進行測試，而除了驗證的範疇外，在程式語言的支援上也有所不同，下方的表格總結了三種方式主要的差異： 表格一：Pulumi 測試方法比較 單元測試 屬性測試 整合測試 實際部署基礎設施 否 是* 是 需要 Pulumi CLI 否 是 是 執行時間 毫秒 秒 分 語言 同 Pulumi 支援的程式語言 Node.

COVID-19 的疫情進一步地加速了全球數位轉型的腳步，按微軟 CEO Satya Nadella 所述1「當前兩個月所獲得的數位轉型進展是過去需要兩年才能達到的成果」。數位轉型透過數位的力量為客戶帶來更好的使用經驗，提升企業競爭力的同時，也進一步地擴大了可被攻擊的接觸面積，根據 Ponemon2 的 2020 研究報告指出，受訪者中有 82% 表示其數位轉型項目至少經歷一次資料外洩的問題。另外，為了能夠更了解客戶，提供更完善的服務，資料的收集與應用更是當前商業競爭的重中之重，然而隨著日漸提升的資料隱私保護意識，與相關規範的建立與落實，資訊安全已然無法視為NICE TO HAVE的選項，而是MUST TO HAVE的因子。因此，在考慮數位轉型策略的同時，將安全納入考量，並且雙軌併行，才是當前企業所應該考量的作法。 鑑於此，筆者認為企業把資訊安全融入數位轉型中，有五個關鍵步驟！ 1. 了解組織的資訊安全能力 唯有了解自身當前的狀況，才能知道與需求之間的落差! 在規劃數位轉型計畫的同時，誠實地面對組織當前實施安全的現況與能力，才能夠了解與期待之間的落差，並且建構可行的路徑。所謂可行的路徑，便是逐步地將安全工具、驗證能力、與安全文化逐步地與數位工具與商業服務進行融合。也只有透過一開始便考量安全，才能夠務實地將安全融入數位轉型的過程中。 數位轉型所涉及的層面包含了工具採用、文化和流程變更、與人才培養，過程必然對組織裡的每個人產生衝擊。如果將安全作為轉型成功後，才進一步加強的目標。可以想見的是安全將永遠會是拖慢並且減損轉型成果的障礙！ 2. 將所屬產業的安全需求納入規劃 企業經營自然無法自外於當地法規對於所屬產業的要求，也無法無視消費者對於企業的期待。因此，數位轉型絕非暫緩合規要求的理由，相反的是一開始便將合規需要納入轉型中，才是事半功倍的最佳途徑。試想當組織內的成員好不容易適應新作法後，卻要立即地面對加入額外要素的作法變更。調適與落實所產生的成本將會是企業無法承受之重。 對於並無具體法規規範的產業來說，基於自動化工具所採用的安全規範與指引，將會是比較直覺且成本較低的選擇，比方說 NIST 與 OWASP。