每届RSA大会的创新沙盒环节都备受期待。创新沙盒的初衷是为网络安全领域的初创企业提供一个平台,展示他们的创新技术或愿景,以及他们可能给信息安全行业带来的变化和发展。2019年入围RSA大会创新沙盒“十强”的企业将于3月4日在大会现场分别进行约3分钟的演讲,并回答组委会提问。评委包括行业投资专家、网络安全专家、网络安全公司CEO、企业CISO、行业顾问等。为了帮助大家了解这十家公司,绿盟科技推出系列文章。今天我们将介绍DisruptOps。公司介绍DisruptOpsInc.成立于2014年,位于密苏里州堪萨斯城。公司致力于通过为多云基础设施提供自动化保护,实现对云基础设施的持续检测和控制,提高云运营的安全性。2018年10月,该公司获得了由RallyVentures领投的250万美元种子轮融资。背景介绍近年来,公有云在国外发展迅速,大量的中小企业开始积极拥抱云计算。然而,公有云服务商的技术能力和安全水平一直是客户上云的一大顾虑。在此背景下,多云(Multi-Cloud)架构成为云计算IT架构的下一个飞跃。在多云架构下,用户使用多个公有云提供商和内部私有云资源来实现业务目标。可以有效提高公有云基础设施的可用性,降低VendorLock-in的风险。然而,管理多个云环境的运营团队面临着大规模复杂的云环境,很快就会导致运营成本上升;此外,敏捷开发也被越来越多的开发团队所青睐,在云端开发运维的复用系统会越来越多,DevOps将成为云应用的新常态,因此不同环境下配置的不一致将会导致安全风险显着增加。常见的错误包括对存储系统数据的未授权访问、允许外部访问内部网络的错误配置的安全组,以及过度分配资源造成的资金浪费。例如,2017年曝光的美国陆军和NSA情报平台将绝密文件放置在可公开访问的AmazonS3存储桶中。这个配置错误的S3存储桶,只要输入正确的URL,任何人都可以看到AWS子域“inscom”。这包含47个文件和目录,其中3个甚至可以被任意下载。手动解决这些挑战效率低下且无效。DisruptOps通过实施可定制的最佳实践库来自动化云管理,以确保一致性和安全性,使DevOps团队能够快速且无风险地迁移。产品介绍公司基于SaaS的云管理平台,实现云基础设施的自动化管控。通过不断评估和加强安全、运营和经济方面的围栏,组织可以安全地享受云计算提供的灵活性、速度和创新,同时保持运营控制。SecurityGuardrailDevOps模型使开发和运营团队能够更快地移动、更快地部署和更快地适应。因此,安全问题不能阻碍或减慢整个DevOps过程。安全措施使安全最佳实践自动化,不仅可以发现错误配置,而且通常可以在问题被发现之前解决问题。这使DevOps团队能够无风险地快速执行。具体包括:(1)身份管理。通过确保身份策略在整个云中保持一致来消除过多的权限问题。例如在S3、EC2服务中,对需要有API和命令行访问权限的控制台用户进行MFA管理;删除未使用的IAM用户和角色;删除过多的权限;删除未使用的默认VPC等。(2)监测。确保在多个帐户中一致地设置日志记录和警报,确保所有云活动的完全可见性。例如,为良好的安全实践提供配置;设置AWS日志轮换和存档;实施集中配置监控;实施集中警报;为安全组更改等创建警报。(3)网络安全。管理适当的网络访问策略,确保正确配置安全组以最小化攻击面。比如锁定默认安全组;将安全组锁定到当前配置;评估或限制VPC对等;寻找具有过多权限的安全组;启用VPS流量记录等。(4)安全存储。通过自动执行基于策略的标记、访问和加密规则,确保存储的关键数据受到保护。例如,将S3Buckets限制为已知IP地址;识别没有正确标签的S3Bucket;识别公共S3存储桶;使用KMS密钥等加密S3BucketsOperationsGuardrail成熟的云组织在其所有云环境中实施共享服务,包括监控/日志记录、IAM、备份等。OperationalGuardrails可以在不需要脚本的情况下为这些共享服务实施良好的操作实践或任何其他本机解决方案。例如,尽管AWS允许用户在控制台中更改资源的类型和大小,但这些并不是以编程方式提供的,可以使用TrinityAPI直接调整资源。再比如,通过标记的方式,用户可以根据计划自动对实例进行快照备份,同时将较旧的快照迁移到Glacier,以节省成本。经济护栏(EconomicGuardrail)通常,开发团队会投入更多的精力在如何更好地构建和快速部署相关应用上。然而,很少有人有明确的意识,在不使用时主动关闭资源,这将导致云成本失控。经济型围栏使用预建策略自动关闭不需要的云资源,在不影响开发人员工作效率或不需要本地脚本的情况下为用户节省资金。例如,通过标签设置,可以在非工作时间关闭开发实例和其他不用的实例,以节省成本;可以调整自动缩放配置以降低非工作时间的成本;实例可以根据实例的具体资源利用率进行调整,降低成本;分析S3存储桶的使用情况,并将其优化到正确的存储层以降低成本等。产品特点无论云的规模如何,DisruptOps云管理平台都可以及时检测并修复安全、运营和成本管理问题方式。概括起来,它包括以下特点。(1)持续评估。开发人员不断对业务系统进行迭代修改,运维团队也在不断进行相关更新。每次进行更改时,都有违反公司安全策略和偏离最佳实践的风险。因此,需要对环境进行持续监控和评估,以发现违规行为,然后采取各种行动。DisruptOps为所有云平台维护多账户资源,可以为这些资源分配标签,并支持基于标签的单独策略。例如,用户可以为开发和生产环境实施不同的安全策略。DisruptOps允许开发人员快速迁移,并允许运营团队快速实施最佳实践。(2)自动执行DisruptOps发现问题后,可以自动提供多种补救方案。通过自动执行更改将环境恢复到最佳实践配置。与运营团队为执行策略而构建的许多脚本不同,DisruptOps的保护检测配置通过自动化进行了生产测试和维护。(3)护栏而不是拦截云安全的一个重要原则是,您需要在不减慢DevOps流程的情况下保护公司数据并实施安全策略和最佳实践。护栏不是阻止活动,而是按预期执行安全策略,用户可以将他们不适用的资源列入白名单和黑名单。例如,如果为安全组打开了管理员访问权限,则不会阻止管理员对该安全组范围的访问。相反,DisruptOps将策略设置为仅允许来自授权公司IP范围的连接。同样,如果管理员账户需要MFA(AWSMulti-FactorAuthentication,多因素身份验证)并且该账户被关闭,DisruptOps不会阻止所有访问(并使管理员离线),而是重置策略以要求MFA。(4)DevSecOps的良好实践目前,在DevOps流程中加入“Sec”需要大量的手工工作来构建、测试和维护脚本。使用DisruptOpsGuardrails,无需编程,通过一键式处理进行配置,并通过直观的用户体验实施和管理Ops。DisruptOps提供报告并支持基于角色的访问控制,以确保只有授权方才能对其管理的云进行更改。(5)DisruptOps,一种支持云计算的优秀实践,可以帮助用户实施多账户管理策略,并提供Guardrails以遵循来自CIS等组织的云安全指南和基准。此外,DisruptOps的很多策略都源于创始人的实际设计和架构工作,他们有多年帮助客户实施云安全建设和运营的经验。(6)低权限原则在DisruptOps中,以最小权限的安全标准为宗旨。始终只分配操作所需的最低权限,然后在进行更改后删除这些权限。通过主动和持续地管理权限,确保在云安全和操作的关键方面的自动化不会创建额外的攻击面。(7)云原生DisruptOps是在云中为云构建的,并利用云最佳实践,包括多帐户组织、无处不在的加密、平台即服务产品,并大量利用API、容器、微服务和功能即服务这种方法最大限度地减少了应用程序的攻击面,同时允许与云环境即时集成。DisruptOps的创始人近十年来一直在倡导云原生架构的理念。(8)SaaS交付DisruptOps作为SaaS服务交付,这意味着用户环境中不需要安装任何软件。一键式配置过程和内置的Ops库确保用户不再需要投入资源来实施、构建、更新、修补或调整护栏大小。因此,用户可以重新构建和运行云和DevOps业务。综上所述,多云和敏捷开发是云计算的热点。DisruptOps使用基于SaaS的服务来快速检测并自动修复用户的多个云资源上的安全和操作问题。一方面实现了对云基础设施的持续安全管控,在安全、运营、成本等方面为用户带来更大的收益。此外,利用自动化和服务编排技术,推动云原生应用和DevSecOps的落地。
