回到主页
回到主页

DevOps最佳安全实践

· INDUSTRY NEWS
broken image

运用云环境、微服务和容器快速分发软件的需求逐年增长,对于敏捷开发运维(DevOps)中安全角色的讨论也随之兴起。

2018 RSA 大会的 DevOps Connect 活动中,近1200名安全人员齐聚一堂,探索将安全嵌入到开发流水线中的方法。随着在企业生态系统中的采纳率达到惊人的81%之多,开发运维成为了网络罪犯的诱人目标。特斯拉云开发运维平台被劫持事件,正是证明了此类环境必须纳入企业整体安全策略的一个例子。想要覆盖不断扩大的攻击界面,开发运维领域必须嵌入安全。

微服务和容器提升了IT效率,加快了应用分发速度。然而,这些技术的采纳速度超过了安全的发展速度。Gartner的研究报告《开发安全运维:怎样将安全无缝集成进开发运维》显示,只有不到20%的企业安全团队协同开发运维小组,系统主动地将信息安全融入到他们的开发运维项目中。

举个例子,这些技术的关键功能之一——即时启动/关机的能力,就给企业带来了巨大的安全挑战。

然而不幸的是,开发运维安全,或者说Gartner所提的开发安全运维(DevSecOps),却常常因为下列种种原因而没受到足够的重视:

  • 大多数安全人员不熟悉开发运维流水线中的常用工具;尤其是与其互操作和自动化功能相关的那些。

  • 大多数安全人员不知道容器是什么,更不用说容器独特的安全问题是哪些了。

  • 安全常被视为与开发运维敏捷性相对立的东西。

  • 今天的安全基础设施依然建立在硬件设计上,而硬件设计往往落后于软件定义和可编程性的概念,也就造成了很难将安全控制措施以自动化的方式集成进开发运维流水线的局面。

尽管微服务和容器能带来很多好处,但也会引入一些特殊的新风险。与其他新兴技术一样,微服务和容器并非从一开始就将安全考虑了进去。大多数企业中,微服务和容器尚未纳入企业整体安全计划。由于可能已经部署到了企业中某些地方,这些技术理应被当做需要保护的一部分攻击界面。

信息安全和开发运维团队可以采取下列步骤减小这些技术和开发实践环境中的攻击界面:

1. 强化容器

底层操作系统应受到良好保护,以防止对容器的攻击影响到实体主机。对此,Linux有一些现成的安全模块可用。

2. 保护开发运维流水线

在整个开发运维流水线上应用特权管理操作,确保只有经授权的用户可以访问该环境,并限制黑客在环境中的横向移动。

3. 漏洞扫描

在运行前对容器镜像执行深度漏洞扫描。

4. 持续监测容器镜像

在运行时检测容器和托管主机中的root提权、端口扫描、逆向Shell和其他可疑活动,防止漏洞利用攻击和突破。

最后,公司企业将会持续加速微服务和容器的使用,增强业务效率和敏捷性。相应的,黑客将会利用该攻击界面达成他们自己的目的。为防护该IT栈中的新生层,开发运维应与信息安全团队协作,在应用开发过程早期即实现最佳安全实践。

本文链接:安全牛 作者nana,原文链接:https://mp.weixin.qq.com/s/BQrBH_Na5eskAtd9qwz08A

上一篇
英国黑客被判10年|23秒偷走奔驰|SQL服务器成C2
下一篇
两款朝鲜恶意软件|HTTP污染绕过谷歌验证|Chrome修复34个漏洞
 回到主页
Cookie的使用
我们使用cookie来改善浏览体验、保证安全性和数据收集。一旦点击接受,就表示你接受这些用于广告和分析的cookie。你可以随时更改你的cookie设置。 了解更多
全部接受
设置
全部拒绝
Cookie设置
必要的Cookies
这些cookies支持诸如安全性、网络管理和可访问性等核心功能。这些cookies无法关闭。
分析性Cookies
这些cookies帮助我们更好地了解访问者与我们网站的互动情况,并帮助我们发现错误。
首选项Cookies
这些cookies允许网站记住你的选择,以提供更好的功能和个性化支持。
保存