云服务提供商通过云市场提供一系列解决方案、插件和安全解决方案。这些工具通过云服务提供商购买，看似应由云服务提供商承担安全责任，但实际上一旦客户配置了这些工具，就代表客户同意对其安全性负责。但是，有时候客户揽下了责任，却不知道意味着什么。

 

对此最好的办法就是通过根本原因分析 (RCA) 来确定责任归属（厂商、提供商或客户）。RCA 可以识别任何潜在威胁，确定事件的根本原因，然后制定行动方案。这通常包括通知关键利益相关者、启动威胁分析、建立流程来协调各方之间的响应和资源，以及将相关信息数字化/映射到相关云技术。

 

确定安全责任

 

如果第一步是明确责任的大方向（厂商、提供商和客户），那么下一步就是将责任细化到组织内部部门。

 

如果组织确实承担责任，那么管理人员必须将责任粒度细化到他们可能都不适应的级别。其中一个问题是，许多组织使用了专门的云开发策略。当今的组织通常拥有多个动态云环境，每个云环境可能都由不同的内部部门管理，他们担心中央 IT 团队的干预可能会妨碍他们的工作，比如影响速度、灵活性和控制力，而这些也是当初他们选择云服务的原因。例如 DevOps，速度和效率对交付关键业务应用至关重要。任何影响速度的安全措施都会被视为威胁。

 

传统的 IT 团队和 DevOps 团队通常对此意见不一。IT 团队建议使用安全工具，而 DevOps 团队认为安全工具是其工作中的拦路虎，与他们的主要目标背道而驰。虽然 DevOps 团队擅长应用开发，但他们却通常缺乏安全开发知识。

 

DevSecOps 让安全性能两不误

 

要想两全其美，组织可以为每个 DevOps 小组配备一名网络安全专家，组成一个“DevSecOps”团队。这名 DevOps 安全专家（或专家团队）可以指导应用开发人员履行责任共担模式，帮助他们同时满足开发和安全要求。他们还可以跨所有云实例提供一致的安全策略，同时确保 DevOps 团队的开发效率。

 

有了 DevSecOps，这些团队就可以高效地选择、部署和管理工具，从而更顺利地实现速度和安全性目标。以 SaaS 安全解决方案为例，基于云的 Web 应用防火墙可以进行自我扩展。而 DevSecOps 可以确保 Web 应用按需增加，同时不会影响安全性。合适的工具部署起来也不会费力，有些工具甚至内置了安全功能，覆盖部署、维护和扩展乃至持续使用和开发过程中的所有优化。

 

自动化也发挥着至关重要的作用。设置完成后，自动化流程便可检查配置并扫描恶意软件（由于手动执行这两个流程需要时间和资源，这两个流程经常被搁置）。DevSecOps 团队可以帮助选择和设计合适的自动化云安全解决方案，以确保获得所有合适的安全特性：

 

自动扫描公有云中的漏洞

 

自动评估工具配置

 

动态保护存储的数据

 

查明错误配置

 

扫描云中的文件

 

通过防止未经授权的下载来保护敏感信息

 

领导者支持是关键

 

随着数字化成为当今市场上的主要竞争优势，领导者越发明确 Web 应用（及其管理方式）就是确保业务战略成功的关键。因此，DevOps 目标现已上升到最高管理层，成为董事会上常见的议题。

 

但是，由于高管们一心想要加快数字化转型，他们并没有意识到冒进的云化和专有应用的开发导致了安全问题复杂化，因此安全风险急剧攀升。