谷歌新书“构建安全可靠的系统” 安全响应中心

收集者 6月前 178



多年来,我一直希望有人会写这样的书。自出版以来,我一直很喜欢并推荐Google Site Reliability Engineering(SRE)书籍,因此,当我来到Google时,发现一本专注于安全性和可靠性的书籍使我很高兴。自从我开始从事技术行业的工作后,在各种规模的组织中,我看到人们都在为应该如何组织安全性而苦苦挣扎:应将其集中化还是联合化?是独立的还是嵌入式的?是运营还是咨询?技术还是管理?这个清单不胜枚举。SRE和安全性都依赖于经典软件工程团队。但是两者在基本方面都与经典软件工程团队不同:

  • 站点可靠性工程师(SRE)和安全工程师倾向于破坏和修复以及构建。
  • 他们的工作不仅包括开发,还包括运营。
  • SRE和安全工程师是专家,而不是经典软件工程师。
  • 它们通常被视为障碍,而不是促成因素。
  • 它们经常是孤立的,而不是集成到产品团队中。

多年来,我和我的同事一直认为,安全性应该是一流的嵌入式软件质量。我相信,采用受SRE启发的方法是朝着这个方向发展的逻辑步骤。随着我对安全性和SRE之间交集的理解的加深,我已经更加确定,将安全性实践更彻底地集成到软件和数据服务的整个生命周期中非常重要。现代混合云的本质(其中大部分基于提供互连数据和微服务的开源软件框架)使紧密集成的安全性和弹性功能变得更加重要。

同时,企业正处于关键时刻,云计算,各种形式的机器学习和复杂的网络安全格局共同决定着日益数字化的世界将走向何方,到达那里的速度如何以及涉及哪些风险。在过去的20年中,大型企业在安全性方面的操作和组织方法发生了巨大变化。最突出的实例包括完全集中的首席信息安全官和核心基础架构操作,其中包括防火墙,目录服务,代理等等,这些团队已经成长为成百上千的员工。另一方面,联合的业务信息安全团队具有支持或管理功能或业务运营的命名列表所需的业务或技术专长。在中间的某个地方,委员会,度量标准和法规要求可能会控制安全策略,嵌入式安全支持者可能会扮演关系管理角色或跟踪命名组织单位的问题。最近,有充分的理由,企业安全团队主要关注机密性。但是,组织通常认识到数据完整性和可用性同等重要,并使用不同的团队和不同的控制方法来解决这些问题。SRE功能是一流的可靠性方法。但是,它在实时检测和响应技术问题(包括对特权访问或敏感数据的与安全相关的攻击)中也发挥着作用。最终,尽管工程团队通常根据专业技能在组织上分开,但他们有一个共同的目标:确保系统或应用程序的质量和安全性。

在这个每年都越来越依赖技术的世界中,从Google和整个行业的经验中汲取的关于安全性和可靠性方法的书对软件开发,系统管理和数据保护的发展做出了重要贡献。随着威胁形势的发展,动态和综合的防御方法现在已成为基本需求。在我之前的职位中,我希望对这些问题进行更正式的探索。我希望安全组织内部和外部的各种团队都认为,随着方法和工具的发展,这种讨论会很有用。这个项目强化了我的信念,即其中涵盖的主题值得在行业中讨论和推广-特别是随着越来越多的组织采用DevOps,DevSecOps,SRE,混合云架构及其关联的运营模型。至少,这本书是在日益数字化的世界中系统和数据安全性发展和增强的又一步。


可以从Google SRE 网站免费下载新书,也可以从您的首选零售商那里购买新书

少客联盟- 版权声明 1、本主题所有言论和图片纯属会员个人意见,与少客联盟立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者收集者少客联盟享有帖子相关版权。
3、少客联盟管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者收集者少客联盟的同意。
5、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
6、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
7、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
8、官方反馈邮箱:chinasuc@chinasuc.cn


上一篇:谷歌和苹果计划将电话变成COVID-19联系人跟踪设备
下一篇:Google宣布首位GCP VRP奖得主并更新2020年计划
人生的价值,并不是用时间,而是用深度去衡量的。
最新回复 (0)
    • 少客联盟
      2
        登录 注册 QQ登录(停用)
返回