通常,安全属于信息安全团队的职权范围。直到几年前,这种网络安全方法一直运作良好。向云计算基础设施的转变创造了一个去中心化的软件开发环境,这在软件开发的增长和规模方面发挥了重要作用。DevOps帮助团队更快地创建、测试和实施软件——通过在整个软件开发生命周期中使用广泛的服务来支持这种敏捷性。然而,这样做也会引入新的网络安全漏洞,传统的信息安全孤岛无法管理这些漏洞。为了保护DevOps环境,创建了DevSecOps部门——该部门的主要支柱是保密管理。1.网络安全是必须的云安全已经成为DevOps团队职责中不可或缺的一部分,主动的云安全管理(CSM)至关重要。2.云安全:防止机密泄露除了创建软件之外,开发人员现在还必须保护公司机密免受未经授权或未经身份验证的访问,并在开发过程中这样做。秘密是允许访问的数字凭证——无论是个人到应用程序还是应用程序到应用程序。后者使用诸如密码、加密密钥、证书、API密钥等“秘密”。为了让DevOps保护代码免受因泄露秘密而导致的数据泄露,他们必须首先了解秘密在其环境中传播的多种方式。秘密滚雪球通过七个驱动因素,包括:基于云的开发、多云基础设施、微服务架构、从用户身份到机器身份的转变、AL/ML/数据分析、物联网/嵌入式设备。这些驱动程序会产生漏洞,因为它们允许更多的错误机会——无论是硬编码秘密来加速测试、使用不安全的开源库,还是忽视云安全。虽然有多种技术可以帮助管理机密,包括商业和开源,但请务必考虑您组织的预算和要求、当前部署的技术、您的DevOps团队在机密管理方面的经验,以及实施和保持这些技术最新的机会和最新的。3.DevOps团队保护云基础设施的八种方法(1)识别必要的需求预先警告是预先警告,所以这个过程越早开始越好。大多数公司已经至少部分地使用了云,因此有时很难退后一步了解全局。不要忘记——云服务不仅仅是AWS、Azure和谷歌。云服务涵盖所有这些SaaS应用程序。团队是否使用Slack或其他基于SaaS的DM?如果开发或DevOps团队正在使用他们的Slack渠道来共享公司机密,那么通过暴力攻击获得Slack访问权限可能会使整个企业面临风险。需要通过明确的治理来定义和管理对CI/CD管道的访问。由于大多数数据泄露是由人为错误引起的,这些错误会导致配置错误、机密泄露和数字卫生状况不佳,因此DevOps和DevSecOps负责管理谁可以访问什么——这是每个连接的安全系统的基本要求。DBA需要与开发团队等不同的数据访问权限。通过遵循最小权限策略和正确配置的堆栈,企业将能够降低风险。所有IaaS、PaaS或实际上任何XaaS都需要在最基本的级别(凭证级别)进行保护。Google会定期向其商业客户发送警报,告知他们可能的凭证泄露。无论您做什么,都不要忘记ShadowIT-确保您企业中的每个人都知道他们被泄露的凭据可能是最薄弱的环节。ShadowIT增加了凭证泄露的风险,仅仅是因为IT没有意识到许多外部平台突然连接到受控的内部系统。最后,从别人的错误中学习。英特尔有一个方便的安全清单,企业可以将其用作确定云安全要求的基础。(2)定义架构一旦确定了企业的云安全需求,企业将对已经使用的云服务类型和需要添加的其他服务有更全面的了解。云安全始终需要放在首位。企业还负责保护自己的应用程序、数据、操作系统、用户访问和虚拟网络流量。除此之外,磨练企业员工配置的基础知识。超过5%的AWSS3存储桶被错误配置为公开可读。虽然三大云已投入大量资金来保护他们的堆栈,但PaaS公司没有这些预算——所以,一定要仔细检查。它被称为“零信任”是有原因的。对于SaaS和网络安全,凭证保护再次成为关键。每种架构类型都需要自己的安全类型——勤奋。例如,混合云基础设施需要“三重打击”的安全性——本地高安全性、关闭所有端口、表面区域跟踪和高度活跃的安全运营中心(SOC)。公共云端需要使用可用于该公共云堆栈的最新和最强大的安全技术来保护。它们之间的连接也需要保护免受攻击。(3)分析现有控制和识别差距并不能很好地采用零敲碎打的方法来处理安全堆栈;从头开始构建显然是一种更彻底、更可靠的方法。以下是使这成为可能的一些选项:云访问安全代理(CASB)云工作负载保护平台(CWPP)云安全态势管理(CSPM)静态应用程序安全测试(SAST)数据丢失防护(DLP)CASB作为企业和中介云服务提供商之间——并提供配置审计、数据丢失预防、治理和监控等服务。常见的CASB包括Broadcom、PaloAlto和Forcepoint。CWPP可防止系统过载,例如导致潜在内存溢出的DDoS或错误代码。他们监控部署在云基础设施上的云计算资源。CheckPoint、TrendMicro和CarbonBlack都提供CWPP。CSPM通过提供持续审计来检测错误配置(包括Spectral等),帮助检测人为错误(安全漏洞的主要原因之一)。SAST扫描源代码以寻找潜在的漏洞——例如测试后遗忘的硬编码数据库访问凭证——以防止由于人为错误/遗漏而泄露秘密。DLP可能是CASB的一部分或单独的技术,它提供工具和策略来通过减少/消除数据泄露的风险(无论是不良行为者还是内部来源)来保护敏感数据。这些工具可以单独使用,也可以作为更大安全堆栈的一部分使用。它们可以在整个组织中使用,也可以仅在特定领域使用——例如用于开发的SAST。(4)专注于保护自己的云秘密首先,在理想的世界中,有教育、以安全为中心的文化和足够的工具,任何秘密都不会被泄露。但人为错误永远存在。新版本需要更安全。开发人员承受着将代码发布到那里的巨大压力。有时他们走捷径或尝试使用一个易于记忆的密码来简化跨工具的访问,或者他们以易于猜测的模式轮换密码。因此,重点需要放在凭证保护上。密钥和密码需要尽可能自动轮换,无需人工干预。他们必须足够强大才能抵挡住攻击。不要忘记对您的员工进行网络钓鱼、网络钓鱼、中毒链接等“典型”威胁的培训。但是,无论团队多么谨慎,我们都会犯错误。(5)扫描错误配置如前所述,在追求更快、更快、更好的竞赛中,开发人员一直专注于获取代码。加快该过程的一种方法是将秘密(例如数据库访问)硬编码到配置中。有时,出于QA和测试目的,他们会通过将“读取访问”设置为“公共”来偷工减料。问题是开发人员有太多他们关注的其他事情,以至于他们有时会忘记删除这些访问权限——从而使整个系统容易受到攻击。自动配置扫描是发现这些类型错误的关键,因为没有人真正有时间专门检查每一行配置代码。(6)关注最少访问原则在理想的世界中,每个人都是100%能干和诚实的,从不犯错误或想做错事。在现实世界中,强制执行最少访问原则——仅限于那些严格需要访问的人——将通过降低错误风险、限制损害范围和加强安全性来实现更好的访问管理。例如,这样的政策可以大大减少会计人员犯错时的损失。不可否认,最低访问权限可能不是一个足够强大的解决方案,需要通过持续监控来补充,但可以通过以下方式得到加强:消除最终用户计算机上的管理员权限更好地保护帐户凭据监控特权会话以确保正确使用限制开发人员访问,除非他们有特定的要求限制对生产系统的访问访问管理技术提供监控、审计和合规性执行。一个好的权限访问解决方案允许轻松分配或即时拒绝,确保仅在需要时授予访问权限。(7)CI/CDpipeline的全面持续保护左移是关键。安全应该从第一行代码开始,而不是留给QA或测试。主动安全性降低了整个SDLC出现问题的可能性——从防止不合规和错误配置到限制秘密泄露和凭证泄露。主动和被动安全需要与开发的每一步齐头并进,在加快响应速度的同时保持一切敏捷。每个开发人员都需要考虑安全性,需要检查新旧代码是否存在潜在漏洞。(8)保持简单自动化是保护整个SDLC的最快和最简单的方法。配置检查、秘密扫描仪、身份访问管理、治理、合规性、屏蔽和合成数据都是重要的解决方案。关键是要找到最大限度地提高云安全性、最大限度地减少误报并保持快速、廉价地推出高质量代码的组合。最好的解决方案是最简单的:使用最少数量的工具构建安全堆栈,提供最高级别的安全性和最低级别的误报。不幸的是,实现这种效果相当复杂。许多公司提供可以简化流程的一体化工具或兼容套件,但这并不总是可靠的。与所有大型项目一样,最好的方法是一步一个脚印。永远不要忘记云安全,企业应该检查他们的服务水平协议是否存在云提供商留下的任何漏洞并进行修改。
