欢迎访问本站!

首页科技正文

南昌旅游景点:{浅谈}DevOps Security

admin2020-05-16154admin科技

云端时代的来临,让DevOps这个名词一时间流行起来。DevOps无非是让公司的平台服〖务〗「快速部署」及「快速的测试」到达公司想要的outcomes是合于期望的。但快速的效果可能是让整个平台的平安打(了)折扣。

 

请参考下图,右手边多(了)一块是把Security加入考量的因素。

DevOps是一个连续不停的对软体产物做出快速的功效释出及优化并且能提高『开』发职员 与[维运职员的协同作业,故在DevOps这一部门许多的事情都依赖自动化的作业。这一部门许多DevOps工程师都已经有相当的履历(了),这一篇我们浅谈企业在执行DevOps的组织型态时若何能把〖平安的部门融入成整〗个DevOps的一部门且也不会让Security拖累DevOps效能 与[效率。

Security in DevOps

关于这一点已经有许多专家在讲DevOps的组织文化(了),我们不在这里「掉书袋」(了)。

相反的在Security里,资安团队著中的可能是如下的议题:

  1. 凭据内外部的律例法则《及标》准,我们的产物有没有相符.例如欧盟的GDPR
  2. 我们的产物现在有若干的security incidents
  3. 我们的产物另有若干的资安问题需要上patch的

等等

传统上开发团队 与[资安团队常常会由于各自的目的差别可能有相互匹敌的状态发生, <这对企> 业整体运作无疑是欠好的事。
若何让DevOps 与[Security运作顺遂呢?

哪就必须让Security融合成DevOps的一部门,DevOps教训我们把Development 《跟》Operation〖融合再一〗起。这时我们必须也要把Security融合近DevOps(如上图)。DevSecOps–将DevOps的焦点,从整个CI/CD的快速部署整合把条理拉高到整个组织对资安的要求。成为之前提到的在整个产物的开发周期及维运中也把security加进去成为”「continuous security」。

Continuous Security

这里我们分三个面向

  1. 以测试导向的资讯平安
  2. 监控 与[资安事宜的回应
  3. 风险评估 与[逐步成熟的资安防御

以测试导向的资讯平安

资讯平安的第一步是要界说我们要「控制」的部门有哪些,界说之后就需要施作尔后做测试。例如在Linux 的 OS里有哪些尺度设定需要做,例如要不要开firewall,要开什么port。什么服〖务〗这台Linux只有提供Web service是不是应该只开Apache服〖务〗要不要有TLS的加密等。这些都需要被界说好并 与[相关的团队协调后能够施作而且能够定期的考核这些设定是否有相符规则,“最好能”够够自动化这一类的事情。例如Chef 的Inspec能够支援这些考核要求,甚至在CI/CD的阶段也能够把这些资安要求加入。例如把OWASP top 10的检查在CI/CD 阶段就加入检查。

简朴的来说就是把我们对整个产物的security baseline是什么,这些基本要求要能够在security/developers/operators三个团队间到达成ㄧ致,确认这些基本要求都很主要。在Application/Infra layer都需要有一些security baseline都需要到达。

在CI/CD的Pipeline中,security control也很主要,若是这些服〖务〗被外来的骇客攻击放置一些malware,哪所做出来的产物就可能有后门让骇客来控制。

犹如TDD的精神,我们也必须先把测试的要求先界说实作出来。每一个我们要求的资安控制项目都有到达才气举行下一个步骤。以是在CI/CD及 IaC(Infrastructure as a code)都需要有界说好的资安要求并能在每个阶段连续不停的测试(如下图)

以测试导向的资讯平安的方式有几个利益

  1. 预先写好这些资讯平安要求,并产出相关的文件。文件中能有异常清晰明了的界说让开发职员能够完全的(了)解,哪么开发职员在确立产物时就可以ㄧ并将这些资讯平安要求铭记在心。不用像以前开发的方式,功效做出来(了)才被要求去修正永远也修正不完的资安要求。
  2. 《每个资安要》求都能够异常明确,例如 “网路通讯间要加密”,这对手艺职员来说异常模糊的说法。在Server 与[client间要有Https的加密方式
  3. 有(了)一样平常化的资安要求后,这些一样平常化的资安控制要求就能被一再重复在差别的产物使用。由于这些资安控制项都是基本的。
  4. 当这些要求在整个产物周期中都被执行后,我们需要再对产物做相关的资安修补就可以大幅削减。团队可以把多余的心力聚焦在其他事情上。

监控 与[资安事宜的回应

信赖所有人都知道监控的主要,由于只要服〖务〗放在网路上,总有一天你的服〖务〗一定会受到林林总总的网路攻击。而以是监控就变得很主要,监控的层面也变得很广。从infra层到程式端甚至是资料自己也须要被监控,然而每个公司的资源有限我们不太可能每一个资安层面都能面面具到的照顾到,以是这时资安的要求必须要被分优先权。

我们需要透过监控的方式来到达1)侦测整个产物服〖务〗的异常,不管是在哪个层面infra layer/ Application/ Data layer这些平常服〖务〗发生的我们需要从中去做相对应《的剖析》。但云云多的不一样层面及大量的的log资料泉源需要做此类《的剖析》可能就很耗时 与[难题,而且什么叫正常什么叫异常可能整个团队一开始也没设施完全界说的很清晰,这时也许UBEA(User and entity behavior analytics)‘是一个’不错的选择。2)若有资安事宜发生这些监控的资料能够成为资安鉴识主要资料泉源。

关于什么是UBEA可以参考以下的连结解说

https://www.varonis.com/blog/user-entity-behavior-analytics-ueba/

除(了)剖析log之外,我们要若何侦测入侵者呢?一样平常传统的方式是使用IDS(Intrusion detection system)进阶一点的就再使用IPS(intrusion prevention system).若是使用VM的方式部署服〖务〗,哪Host base IPS/IDS也可能ㄧ并部署下去。但犹如我们之前有文章提到部署(了)这么多资安‘控制项’在我们的环境里,有没有可能会影响我们的效能 与[设定操作的复杂性,这些都需要被考量进去。
再来网路层面就会是用Netflow〖的方式监看目〗前所有连线是不是都是正常正当的,有没有不正常的连线。这在传统机房或云端的IaaS模式不是太难,但在PaaS模式例如Container下难题度就会很高。

若何做到当有资安事宜的攻击能快速反应呢?若是一样平常没有准备好的团队一定就是手忙脚乱毫无章法,往往不知怎么应对。这里提供六个阶段辅助你做好准备

  1. 准备阶段—确保你有最低限度的尺度程序来对应这些资安事宜
  2. 确认阶段–快速且准确的识别资安‘事宜是否发生’
  3. 围堵阶段—一但确认后要防止事宜状态恶化
  4. 消除阶段— 消除此一资安事宜
  5. 回复阶段— 将产物服〖务〗回到上一次的已知的优越状态
  6. 学习阶段— 回首这一个事宜为何发生的前因后果,并修正在准备阶段的资安尺度程序,防止依后有相同事宜发生

这是一个循环的程序,一个PDCA〖的模式〗

风险评估 与[逐步成熟的资安防御

一个完整的连续平安的环境会确立在优越的文化组织 与[治理上,所有成员对资安都有ㄧ致的共识尺度。之后就是在手艺层面上施作 与[尺度的资安事宜的回应程序。

但其实在组织中,「职员」的部门才是最大风险,〖若何在〗DevOps team里做好风险管控呢?

风险治理就是需要「识别」什么样的「威胁」会对我们的服〖务〗造成「危害」,这些威胁需要被分「优先顺序」制订「对应的方式」。在DevOpos team优越的风险治理必须到达三个目的

  1. 犹如DevOps的做法,对资安议题要有快速小量的叠代。每次针对的资安提议能够被分类的够小够明确,能在很快的时间组成一个程序
  2. 自动化, 这也是 DevOps主要的部门,若何把自动化应用上资安议题上。
  3. 需要组织里的每一个人参 与[资安事宜的讨论,并且能像讨论功效开发一样确立 与[维持产物的‘平安是需要’团队互助的。

另外要让产物的资安防御逐渐的优化,连续的资安测试也是不可或缺的。团队内部可以针对产物或服〖务〗连续性的测试,例如 vulnerability scanning, fuzzing, static code analysis, configuration auditing等等整合到CI/CD的pipeline之中。且 CI/CD是在DevOps team的SDLC(Software development lifecycle)架构之下。

我们同时也可以招聘外部厂商来饰演外部的攻击者,对我们的产物或服〖务〗(非正式环境)做攻防「演练」,由外部厂商饰演红军内部成员为蓝军定期攻防「演练」。可以纸上作业((类)似军队的兵棋推演)到模拟测试。

总结,成熟的资安产物服〖务〗需要时间逐步成熟。若何将资安如入产物或服〖务〗甚至融入公司的组织中,这需要公司的高层有强烈支持下才有设施运作。但在这转型的时代虽然可能会很痛苦,但所带来的效益将不只是手艺 与[知识方面提高另有整合团队的互助并请能带来好的主顾满意度。

,

sunbet

Sunbet和www.eyaeya.com强强联合,打造一站式全民直营平台,用资本、技术、服务在同行中获胜。Sunbet和EYAEYA网提供数十种线上纸牌、zhenren、电子游戏,致力打造公平公开公正的信誉平台。

网友评论