DevSecOps的策略和工具正在极大地改变组织将其应用程序变为现实的方式。有一种心态,即必须将安全性纳入软件开发生命周期的每个阶段中,并且每个人都应对安全性负责,这可以降低软件开发的总成本并确保更快地发布安全应用程序。
任何安全策略的共同目标是在安全地解决问题之前,可以快速,安全地解决问题,从而导致数据丢失。应用程序开发人员不是安全专家,并且可能不具备及时发现和解决安全问题的知识和技能。这是安全自动化可以提供帮助的地方。
安全自动化使用工具来连续扫描,检测,调查和补救代码或应用程序环境中的威胁和漏洞,而无需人工干预。工具可扩展将安全性纳入DevSecOps流程的过程,而无需增加人员技能或资源。他们通过在发现明显明显违反安全策略的内容时自动围绕问题建立安全栏来实现此目的。
AWS云平台已成熟实现安全自动化
亚马逊声称在其云计算平台上有超过一百万个客户,其中大多数是中小型公司,但也有企业级用户。无论客户规模如何,亚马逊始终都有共同承担安全责任的模型。
亚马逊致力于保护受其控制的每个组件。但是,客户有责任保护其控制的内容,包括配置,代码,应用程序,最重要的是数据。这为错误配置,不安全的代码,易受攻击的API和安全性差的数据留下了很多机会,这些都可能导致数据泄露。
一个在AWS常见的安全问题是一个开放的S3存储桶,数据在互联网上公开可读。尽管S3存储桶的默认配置是私有的,但对于开发人员而言,更改策略以使其打开并以嵌套方式应用许可更改是相当容易的。一个安全自动化工具应该能够找到并识别这种不安全的配置,并且无需人工干预就可以简单地禁止对资源的公共访问。
亚马逊分别在2017年和2018年添加了此类工具,但我们仍然看到由于开放S3存储桶而导致数据泄露的公司的头条新闻。该安全工具应与相应的团队进行通信,但是在许多情况下,基于数据的敏感内容,该工具还应自动纠正配置错误的访问策略。进行安全自动化的团队也可以使用这种类型的警报和自动修复功能,以更好地了解其代码或环境中的问题,并希望在问题再次发生之前将其拒之门外。
还有什么可以自动修复的?AWS中有数百个漏洞可以并且应该在没有人工干预的情况下进行修复。这里只是几个例子:
AWS CloudTrail静态数据加密级别
AWS CloudFront Distribution日志记录访问控制
AWS Elastic Block Store访问控制
AWS S3存储桶访问控制
AWS S3存储桶勒索软件暴露
AWS Simple Queue Service暴露
安全自动化工具的基本功能
AWS安全自动化产品的重要功能类别很重要。一类是通过API的自动修复以及排队的身份验证和加密来处理动态数据。其他解决方案通过自动修复数据库以及存储加密和备份来解决静态数据。需要进行安全监视和强制执行,以自动保护开发人员避免在移动或存储数据时犯错误。
这是在安全自动化工具中要寻找的四个基本功能。
1.持续发现云,移动和Web应用程序中的影子API
API支持机器对机器数据的检索,从根本上消除了障碍并加速了对数据的访问。如今,几乎没有现代应用程序提供不与其他应用程序和数据源集成的API。开发人员只需编写几行代码即可创建API。影子API是在安全团队的权限范围之外运行的API。在仅程序员知道的代码上强制执行安全性是一个挑战。因此,安全自动化工具必须具有连续扫描和发现可能构成安全威胁以防止数据泄露的API的能力。
2.移动和现代Web应用程序的全栈安全性分析
在数据被吸收到AWS云中之前,它通常从Web或移动应用程序的客户端层开始。保护用户隐私和保护敏感数据是一项持续的工作,需要对从移动设备到Web到后端云服务的漏洞进行分析。现代攻击者通常专注于利用客户端层来劫持移动应用程序或单页面应用程序中保留的用户会话,嵌入式密码和有毒令牌。
3.自动化完全集成到CI / CD管道中,并支持自动修复
大多数漏洞评估工具通过向Jira,Bugzilla和Jenkins等系统报告发现的内容,将它们集成到CI / CD管道中。这是评估工具的赌注。但是,更有价值的是在CI / CD管道中包括对问题的自动修复。该工具无需等待人工完成并验证该漏洞的修补程序,而是自动执行此操作并将结果报告给票务系统。这使开发人员不必花时间解决常见问题。
4.用于计划的生产前评估的自动化漏洞黑客工具包
公司通常会雇用白帽黑客在其生产前环境中进行即时渗透测试。一种更现代的方法是部署一个工具箱,该工具箱连续执行相同的黑客活动。使用这种工具包不仅成本效益更高,而且还可以不间断地查找和修复漏洞。
当自动修复可能不合适时
自动修复某些安全问题并不总是合适的。相反,最好是该工具仅发现问题并发出警报,让人们决定如何解决问题。例如,在需要加密密钥的情况下(例如,对于数据库以及对于需要用户交互的配置(例如,选择VPC或IAM规则)),自动修复通常是不合适的。当修复程序需要更改客户专有代码库中的现有代码逻辑时,这也不适当。
但是,某些工具确实有助于处理不安全的代码。所有安全自动化工具中都没有发现的一项有用功能是识别错误代码以及有关如何使用安全代码修复它的建议。在预生产阶段查看推荐的代码修复程序有助于快速解决问题,而不会浪费时间研究为什么代码会带来麻烦。开发人员开始专注于他们的应用程序,而安全团队则确保持续的安全验证。
其他云服务商:
Rackspace Cloud
Rackspace (NYSE:RAX)全球三大云计算中心之一,1998年成立,是一家全球领先的托管服务器及云计算提供商,公司总部位于美国,在英国,澳大利亚,瑞士,荷兰及香港设有分部。在全球拥有10个以上数据中心,管理超过10万台服务器。Rackspace的托管服务产品包括专用服务器,电子邮件,SharePoint,云服务器,云存储,云网站等。在服务架构上提供专用托管,公有云,私有云及混合云。
谷歌云
Google Cloud Platform是Google的云服务提供商。该平台使用户能够使用Google提供的模块化Web服务创建业务解决方案。它提供各种服务,包括IaaS和PaaS解决方案。 借助Google Cloud的多层安全基础架构,用户可以放心,您构建,创建,编码或存储的任何内容都将受到保护。这是通过对透明度的承诺和训练有素的工程师团队来实现的。Google Cloud提供了多种工具来确保一致的性能和管理。其中包括计算引擎,App Engine,容器引擎,云存储和大查询。Google还提供灵活定价的平滑迁移到虚拟机。
