DEVSECOPS 所面臨的挑戰(zhàn)
敏捷開發(fā)和 DevOps 方法的出現(xiàn)使軟件開發(fā)的速度與質(zhì)量都有所提升株憾,但它們不經(jīng)意地也為安全機(jī)構(gòu)增壓不少蝙寨。從前的安全策略是基于靜態(tài)數(shù)據(jù)的,而在產(chǎn)品上線前才應(yīng)用這些策略嗤瞎,或手動(dòng)調(diào)整規(guī)則墙歪,會(huì)使設(shè)定策略的時(shí)間非常緊張,從而影響到發(fā)布產(chǎn)品的質(zhì)量贝奇,增加出錯(cuò)的風(fēng)險(xiǎn)虹菲,拖慢整個(gè) DevOps 周期。同時(shí)掉瞳,使用 DevOps 配置工具來設(shè)定安全策略毕源,也會(huì)使公司暴露于風(fēng)險(xiǎn)之中,因?yàn)檫@些工具都缺少臨界控制陕习,同時(shí)無法集成到安全架構(gòu)的其他部分中去霎褐。
CLOUDPASSAGE 公司的 HALO CloudPassage? Halo? 則可以解決這些困難。它為安全團(tuán)隊(duì)和 DevOps 團(tuán)隊(duì)提供了一個(gè)敏捷的该镣、安全的合規(guī)平臺(tái)冻璃。這個(gè)平臺(tái)可以跨越任何云以及虛擬設(shè)施開展工作,包括公有云损合、私有云省艳、混合云、多重云塌忽、以及虛擬數(shù)據(jù)中心拍埠,甚至還包括裸機(jī)。這是一個(gè)獨(dú)一無二的平臺(tái)土居,用戶可以在平臺(tái)上不間斷的觀察并管理自己的系統(tǒng)。因此嬉探,這個(gè)平臺(tái)支持立即響應(yīng)和快速部署擦耀,同時(shí)也是完全自動(dòng)化的。平臺(tái)規(guī)模也可大可小涩堤。Halo 平臺(tái)提供安全自動(dòng)化的解決方案眷蜓,并可與 Chef、Puppet 和 Ansible 這類配置工具相整合胎围。
現(xiàn)在吁系,安全可以參與到 DevOps 周期中去了德召,從開發(fā)崎坊、測(cè)試泉沾、到產(chǎn)品上線,并且毫不影響 DevOps 原有的速度與敏捷性≈。現(xiàn)在蕴坪,安全策略的制定基于應(yīng)用的邏輯組合肴掷,而不再是靜態(tài)網(wǎng)絡(luò)參數(shù)了,這自動(dòng)保護(hù)了新的負(fù)載背传。通過這種方式呆瞻,用戶可以在開發(fā)階段就應(yīng)用多層保護(hù)策略,而不必等到最后時(shí)刻径玖。
CloudPassage Halo 的用戶通過一個(gè)簡(jiǎn)單的交互界面痴脾,就可以全方位觀察他們的系統(tǒng)。這些軟件如此輕量級(jí)梳星,且完全無干擾赞赖,因此可以被部署到任何服務(wù)器實(shí)例,任何地方丰泊。軟件的部署是通過配置工具來完成的薯定,支持手動(dòng)或使用腳本部署,即便是部署在運(yùn)行中的系統(tǒng)里瞳购,也無需重啟系統(tǒng)话侄。通過 Halo,您可以管理動(dòng)態(tài)負(fù)載防火墻学赛、接收關(guān)鍵安全事件報(bào)告年堆、檢測(cè)到所有系統(tǒng)中新發(fā)現(xiàn)的安全漏洞、發(fā)現(xiàn)錯(cuò)誤的配置盏浇、同時(shí)當(dāng)負(fù)載被篡改時(shí)收到告警变丧。
產(chǎn)品特性
配置安全監(jiān)控:幾秒鐘之內(nèi)即可基于最新的配置策略完成對(duì)新的和被重新激活的服務(wù)器的評(píng)估,幾乎不占用 CPU 绢掰。 Halo 可自動(dòng)監(jiān)控操作系統(tǒng)和應(yīng)用的配置痒蓬、進(jìn)程、網(wǎng)絡(luò)服務(wù)和用戶權(quán)限等等滴劲。
多重網(wǎng)絡(luò)身份驗(yàn)證:隱藏服務(wù)器端口使其更加安全攻晒,同時(shí)允許授權(quán)用戶有需要時(shí)臨時(shí)訪問服務(wù)器。對(duì)于遠(yuǎn)程網(wǎng)絡(luò)訪問班挖,無需額外的軟件或設(shè)置鲁捏,Halo 自帶雙重驗(yàn)證功能(通過向手機(jī)發(fā)送 SMS,或使用 YubiKey?)萧芙。
軟件漏洞評(píng)估:幾分鐘之內(nèi)就完成對(duì)大量服務(wù)器配置點(diǎn)的掃描给梅,時(shí)刻觀察服務(wù)器是否暴露假丧。在您的所有云環(huán)境中,Halo 可自動(dòng)檢測(cè)出軟件包的漏洞动羽。
動(dòng)態(tài)負(fù)載防火墻管理:可在任何云環(huán)境輕松部署并管理動(dòng)態(tài)防火墻規(guī)則包帚。通過一個(gè)簡(jiǎn)單的 Web 界面建立防火墻規(guī)則,然后分配到各組服務(wù)器曹质。當(dāng)增減服務(wù)器婴噩、更改 IP 地址時(shí),防火墻規(guī)則可自動(dòng)更新羽德。
文件完整性監(jiān)測(cè):持續(xù)監(jiān)控您的云服務(wù)器几莽,保護(hù)重要的系統(tǒng)二進(jìn)制文件和配置文件不會(huì)受到未經(jīng)授權(quán)的或惡意的變更。Halo 首先會(huì)記錄下云服務(wù)器系統(tǒng)的“清潔”狀態(tài)宅静,作為基準(zhǔn)章蚣。接著它會(huì)定期掃描各個(gè)服務(wù)器實(shí)例,將掃描結(jié)果與基準(zhǔn)比對(duì)姨夹。任何不一致都會(huì)被記錄下來纤垂,并報(bào)告給相關(guān)的管理員。
服務(wù)器訪問管理:輕松識(shí)別無效和過期賬號(hào)磷账。Halo 幫您了解各個(gè)賬號(hào)可訪問的服務(wù)器峭沦、賬號(hào)的操作權(quán)限以及賬號(hào)的使用記錄。您可以通過一個(gè)在線管理控制臺(tái)逃糟,監(jiān)控所有的云服務(wù)器吼鱼。
事件記錄與告警:輕易管理并檢測(cè)一系列事件及系統(tǒng)狀態(tài)。有了 Halo绰咽,您可以定義哪些事件值得記錄或告警菇肃、事件的嚴(yán)重程度、以及接收告警的人員名單取募。
配置工具服務(wù)
CloudPassage Halo 旨在建立一個(gè)抽象化琐谤、自動(dòng)化、可與配置工具集成玩敏、自動(dòng)擴(kuò)展并且支持 API 的平臺(tái)斗忌,這些都是保護(hù)動(dòng)態(tài)云設(shè)施所必備的基本要素⊥郏客戶可通過 Halo 的界面或其他流行的配置工具飞蹂,完全自動(dòng)地實(shí)現(xiàn)安全策略設(shè)定。
可集成性
CloudPassage Halo 平臺(tái)支持開放的翻屈、RESTful API,因此可以輕松與多種安全和操作解決方案相集成妻坝。 歡迎登錄我們的網(wǎng)站伸眶,查看最新的已完成的集成測(cè)試名單惊窖。
原文地址:http://note.youdao.com/share/web/file.html?id=458a50c56f02096a6d24f9e3d0e94c5c&type=note
如今,多樣化的攻擊手段層出不窮厘贼,傳統(tǒng)安全解決方案越來越難以應(yīng)對(duì)網(wǎng)絡(luò)安全攻擊界酒。OneRASP 實(shí)時(shí)應(yīng)用自我保護(hù)技術(shù),可以為軟件產(chǎn)品提供精準(zhǔn)的實(shí)時(shí)保護(hù),使其免受漏洞所累嘴秸。想閱讀更多技術(shù)文章毁欣,請(qǐng)?jiān)L問 OneAPM 官方技術(shù)博客。
本文轉(zhuǎn)自 OneAPM 官方博客
