运用云环境、微服务和容器快速分发软件的需求逐年增长,对于敏捷开发运维(DevOps)中安全角色的讨论也随之兴起。
2018 RSA 大会的 DevOps Connect 活动中,近1200名安全人员齐聚一堂,探索将安全嵌入到开发流水线中的方法。随着在企业生态系统中的采纳率达到惊人的81%之多,开发运维成为了网络罪犯的诱人目标。特斯拉云开发运维平台被劫持事件,正是证明了此类环境必须纳入企业整体安全策略的一个例子。想要覆盖不断扩大的攻击界面,开发运维领域必须嵌入安全。
微服务和容器提升了IT效率,加快了应用分发速度。然而,这些技术的采纳速度超过了安全的发展速度。Gartner的研究报告《开发安全运维:怎样将安全无缝集成进开发运维》显示,只有不到20%的企业安全团队协同开发运维小组,系统主动地将信息安全融入到他们的开发运维项目中。
举个例子,这些技术的关键功能之一——即时启动/关机的能力,就给企业带来了巨大的安全挑战。
然而不幸的是,开发运维安全,或者说Gartner所提的开发安全运维(DevSecOps),却常常因为下列种种原因而没受到足够的重视:
大多数安全人员不熟悉开发运维流水线中的常用工具;尤其是与其互操作和自动化功能相关的那些。
大多数安全人员不知道容器是什么,更不用说容器独特的安全问题是哪些了。
安全常被视为与开发运维敏捷性相对立的东西。
今天的安全基础设施依然建立在硬件设计上,而硬件设计往往落后于软件定义和可编程性的概念,也就造成了很难将安全控制措施以自动化的方式集成进开发运维流水线的局面。
尽管微服务和容器能带来很多好处,但也会引入一些特殊的新风险。与其他新兴技术一样,微服务和容器并非从一开始就将安全考虑了进去。大多数企业中,微服务和容器尚未纳入企业整体安全计划。由于可能已经部署到了企业中某些地方,这些技术理应被当做需要保护的一部分攻击界面。
信息安全和开发运维团队可以采取下列步骤减小这些技术和开发实践环境中的攻击界面:
1. 强化容器
底层操作系统应受到良好保护,以防止对容器的攻击影响到实体主机。对此,Linux有一些现成的安全模块可用。
2. 保护开发运维流水线
在整个开发运维流水线上应用特权管理操作,确保只有经授权的用户可以访问该环境,并限制黑客在环境中的横向移动。
3. 漏洞扫描
在运行前对容器镜像执行深度漏洞扫描。
4. 持续监测容器镜像
在运行时检测容器和托管主机中的root提权、端口扫描、逆向Shell和其他可疑活动,防止漏洞利用攻击和突破。
最后,公司企业将会持续加速微服务和容器的使用,增强业务效率和敏捷性。相应的,黑客将会利用该攻击界面达成他们自己的目的。为防护该IT栈中的新生层,开发运维应与信息安全团队协作,在应用开发过程早期即实现最佳安全实践。
本文链接:安全牛 作者nana,原文链接:https://mp.weixin.qq.com/s/BQrBH_Na5eskAtd9qwz08A