C114讯 11月1日消息(艾斯)来自市场研究公司Omdia的最新报告显示,运营商在加速采用DevOps,从而实现更高的自动化水平。然而,还不确定安全性是否与实现持续改进(CI)、持续交付(CD)和持续测试(CT)一样重要。最近黑客对T-Mobile网络的入侵凸显出,如果未能充分重视安全性,可能会导致重大问题。通过采用DevSecOps方法,运营商可以更有效地保护网络运营,并使客户免受未来的网络威胁。
DevOps的应用正在增加
为了充分发挥发挥5G的潜力,运营商正在对网络进行虚拟化,以支持云原生运营和边缘服务交付。在这个过程中,他们正试图通过DevOps加速网络功能测试和上线,以实现更快的获利时效(time-to-revenue)。这些方法旨在在开发过程的早期发现问题(从而进行修复)。
然而,网络虚拟化在每个网络层都暴露了新的、易受攻击的入口点。在这种情况下,安全性应该是DevOps和测试过程中不可或缺的一部分——但它通常被搁置,直到为时已晚。
DevOps流程(例如,CI/CD/CT)对于那些旨在实现网络运营自动化的人来说是至关重要的。然而,供应商和服务提供商应该以DevSecOps方法为目标,该方法在整个实施过程中(而不仅仅是在开始和/或结束时)集成了一致的安全重点。毕竟,你不会建造一个满是漏洞的房子——网络又有什么不同呢?
Omdia服务提供商研究分析师Tom Willetts指出,最近T-Mobile网络受到攻击表明,如果有什么不同的话,测试站点可能是一些更容易被攻破的地方(据信在用于测试的网关GPRS支持节点中有一个错误配置)。此外,更积极的安全性、监控和测试策略可以帮助检测或最大限度地减少此类攻击。
2021年7月,Omdia发布了对运营商在NFV和边缘应用采用方面的行为和态度的最新调查。在对比2020年(n=102)和2021年(n=65)NFV/边缘关于DevOps的调查结果时,令人欣慰的是,受访者正在以更快的速度采用DevOps实践。2021年,32%的受访者目前正在实施DevOps实践(去年为22%),29%的受访者计划在年底前实施DevOps实践(2020年这一比例为17%)。此外,今年只有2%的人不确定他们何时会实施DevOps方法,而2020年这一比例为9%。这些数据表明,运营商在采用DevOps实践的决策上变得更加明智和坚定。
图1:采用CI/CD进行内部网络运营和服务交付改进。
资料来源:Omdia。
技术供应商意识到他们在运营商采用DevOps方法时可以发挥的作用。各种电信合作伙伴,如甲骨文、诺基亚和思科,为运营商提供CI/CD/CT服务。这些产品的可用性表明,供应商看到了支持运营商采用CI/CD/CT的市场,甚至可能在提供这些服务时找到竞争优势。
安全性还不充分吗?
现在,行业对DevOps流程的认识、信心和应用水平的提高让人感到欣慰,但安全性是否仍然被过于轻视?
虽然2021年85%的受访者将安全视为电信边缘的优先事项,但这受到了大型受访者(即拥有超过500万用户的受访者)的影响。在用户数不到500万的供应商受访者(n=21)中,只有76%将安全视为高优先级,令人震惊的是还有24%将其视为低优先级。
Omdia的NFV/边缘采用和供应商认知调查指出,只有当行业走向商业化时,安全才会被列为首要投资。然而,从一开始就确保安全性将带来更加安全的框架,并有助于最大程度地减少虚拟化网络中各个漏洞点被破坏的可能性。因此,开发者应该采用DevSecOps来确保检测到和预防任何潜在问题。再打个比方,你不会等到挡风玻璃上的裂缝变大了才去修理它。
可以做些什么?
在从开发到交付、部署和管理的每个网络功能上线阶段,确保安全成为成为一个重要的考虑因素。需要考虑的事项包括创建仅内部使用的接入点,并实施零信任策略来实现最小化攻击面。
全公司层面的DevSecOps方法将确保NetOps员工意识到安全问题的危险(对网络和他们自己而言)。继续培训NetOps员工勤奋地监控供应商提供的软件和服务生命周期管理平台,如果有可能追踪这种勤奋程度,则将其反映在他们的薪酬的当中。
最后,在运营商招聘广告和RFP中加入DevSecOps等术语,以确保吸引到合适的人才,并向供应商施加明确的压力,要求他们也更多地采用DevSecOps方法。
【注:Omdia由Informa Tech的研究部门(Ovum、Heavy Reading和Tractica)与收购的IHS Markit技术研究部门合并而成,是一家全球领先的技术研究机构。】