你晓得吗?65% 的企业都认为他们无奈同时兼顾平安和翻新,因为他们认为开发人员须要领有拜访所有资源的权限能力取得更大的开发自在。那么有没有方法既可能确保开发过程的安全性同时也能保留麻利所需的资源呢?在瞬息万变且日益简单的云计算生态中是否实现呢?是否同时也让 DevOps 团队便于管理呢?或者咱们能够从云平安治理中找到答案。
什么是云平安治理?
云平安治理是一个多步骤流程,目标在于被动应答潜在的安全漏洞。它须要逾越整个组织的云依赖关系,从会议、电子邮件和客户治理服务到开发团队应用的 PaaS(平台即服务)。
云资产的平安治理还须要包含数据加密、爱护员工应用的各种设施以及治理用户凭据。最重要的是,云平安治理是一个继续的过程。因而,须要定期更新和保护。
为何 DevOps 应该关怀云平安治理?
大部分人会天经地义的认为云平安治理是平安团队的工作。但实际上,云平安应该是每个人的责任。IT 安全策略有时无奈满足开发人员的需要,尤其是在工作负载平衡 docker 和容器方面。这就是 DevOps,或者更精确地说,是 DevSecOps 和 CloudOps 的作用所在。
往往企业认为不间断的开发节奏会更加高效,因而偏向于将平安放在软件开发周期的最初。但这样的做法通常导致齐全相同的后果。因为在 DevOps 周期开端时的平安评估往往会指出不合规问题,而解决这些问题会导致产品无奈按时面市。而因为开发周期曾经完结,有些企业的高管有时会冒着没有适合平安预防措施的状况下将产品推向市场。
而在云平安方面,只有不到 60% 的企业为开发人员明确了安全策略,而这其中只有四分之一的企业认真执行了这些策略。应用云可能企业带来许多劣势,但其对应的平安危险也不容忽视。DevOps 必须在开发周期内制订明确的平安打算和指南,来防止或被动解决已知或潜在的平安问题。
企业该当施行的 5 个云平安管理策略
与传统计算不同,云计算十分复杂。这是一个永无止境的平安和合规之旅。直白来说,每个解决云工具和环境的 DevOps 专业人士都应该理解一些云平安基本知识。
1. 应用第三方平安服务
现在,大多数企业都采纳多云基础架构,和不止一个云基础架构提供商进行单干。每个平台都有一套本人的平安工具,来爱护特定云平台提供的服务平安。随着采纳的云提供商和解决方案数量的减少,多个日志中的警报和告诉也越来越多。因而企业须要确定报告的哪些危险和威逼实际上值得跟进和解决,这往往须要破费大量的工夫和老本,因为企业须要为这些危险和威逼开发对应的威逼建模办法。
除了平台自带的平安工具,能够抉择内部业余平安服务。这些服务可能帮忙企业节俭治理多个仪表盘和监控零碎的工夫和精力。内部平安服务提供商的指标是与所有云服务和平台集成,以接触最宽泛的客户群体,这也内部平安服务成为集中式云平安治理的现实解决方案。
2. 爱护云凭据
敏感信息如果被(无意或无心)放在谬误的中央将会导致灾难性事件。因为安全漏洞,敏感信息被上传到代码存储库,Uber 有 5700 万条信息被泄露。
DevOps 和开发人员在设计流水线时关注速度和效率,而安全性是信息安全团队和 IT 部门常常关怀的问题。开发时,企业的注意力经常放在产品和客户端的安全性上,而不是云工具的安全性上。这可能导致云凭据失落、泄露、裸露和滥用。
因而,企业非常有必要增强员工的爱护云凭据的意识,同时在外部进行平安宣教,教育员工如何辨认网络钓鱼。一旦员工无意识爱护凭据信息,企业则更容易执行安全策略。同时企业能够施行密钥和明码轮换,并确保密钥 / 明码安全性高且不易被暴力破解。
Gartner Inc. 钻研发现高达 95% 的云数据泄露是人为谬误(例如配置谬误)造成的。为了爱护云凭据免受这些谬误的影响,DevOps 团队须要确保将凭据扫描工具集成到 CI/CD 流水线中。
3. 扫描 IaC、容器及镜像以查找谬误配置
易受攻击的配置文件往往是和不足相应的专业知识挂钩,而遗记敞开公开拜访权限的事件也时常产生。事实上,在扫描的 CloudFormation(AWS IaC)配置文件中靠近一半存在谬误配置,这也表明谬误配置是普遍现象。
图片起源:Palo Alto Networks
有时开发人员须要设置一些公共读取权限,来查看某些内容是否失常运行,而预先遗记批改权限。为了防止配置出错,企业能够应用自动化工具来扫描配置文件。相比手动扫描配置文件,自动化工具可能高效且无效地扫描文档并查找谬误。
4. 施行最小拜访权限准则
让每个人能够无限度地拜访所有内容,确实让开发过程更加通顺,但也让开发过程安全隐患重重。并不是每个人在此过程中都明确晓得本人做了什么,做错了什么。因而执行最小拜访权限准则(least access privilege principle)能够大大减少产生谬误的概率和区域。
以下是企业能够采取缩小拜访权限的措施:
- 勾销终端用户机器上的管理员权限
- 爱护账户凭据
- 监控特权拜访确保其正当应用
- 限度授予开发人员对其特定需要的拜访权限
- 限度对生产零碎的拜访
权限拜访治理(Privilege Access Management, PAM)能够将上述措施的过程自动化,其中包含生命周期内特权拜访的监控、审计和强制合规。PAM 的施行能够让企业在开发过程中随时减少或勾销拜访权限,确保随着工夫的推移放弃最小拜访权限。
5. 在 CI/CD 流水线中实现继续的安全性
在议论性能、产品设计或代码时,“Start now, optimize later”(先启动,再优化)并不是个坏的抉择。但波及平安时,“optimize later”可能意味着微小的平安危险。在 CI/CD 中尽早施行安全策略有助于保护开发周期的安全性,还能极大地缩小合规和配置谬误的问题。
“继续平安”指在整个开发过程中测试安全性的办法,使开发过程放弃麻利的同时,容许开发人员及时响应发现的任何问题。通过保障开发的合规性和安全性,企业在须要时能够平安地在云上进行拓展。
图片起源: HyTrust
同时企业须要严格把控权限治理,确保仅在人员有拜访须要时授予权限,以及确保配置文件具备适当的限制性。