导航菜单

混合架构、暗数据...这些云原生安全 bug 稍不留神会带来灾难!

原标题:混合架构,黑暗数据.这些基于云的安全漏洞如果不被发现,将会带来灾难!

Author | Drishti Shastri

Translator |天道奖励工作责任汇编|徐

Seal Map | CSDN下载in vision china

在当今时代,企业网络和数据安全风险从未像现在这样严重。然而,传统方法(包括公共云运营商使用的方法)基本相同。

云本地应用的兴起及其安全威胁

在当今时代,企业网络和数据安全风险从未像现在这样严重。然而,传统方法(包括公共云运营商使用的方法)基本相同。

转向对威胁攻击的回应,而不是阻止它。云原生应用程序正受到越来越多的关注,以各种可能的方式质疑传统智慧。

从基础设施到应用程序开发,堆栈与传统方法和更现代的基于云的方法形成鲜明对比。他们中的大多数人已经就成功的模式和实践达成了主流观点:DevOps文化、持续交付和微服务架构。为什么我们没有重新设想云的安全性?我们大胆的新想法在哪里?

可以肯定的是,在应用交付期间,云的本机安全性已经被跟踪了很长时间。传统的信息技术安全团队视自己为中间人。他们必须正确完成工作,否则他们将面临机构面临的更大风险。

它们在所有过程中都有很高的安全性要求,但是要达到这些级别需要时间、测试和修改。开发团队经常抱怨,因为它延迟了应用程序的开发,并且通常不能确保完全的保护。

当组织想要改进和加速应用程序改进生命周期并安排云原生应用程序时,安全性成为一个更加突出的测试。大多数云本地应用程序运行在新的模式中,这些模式提供了非常规的生产率、适应性和成本优势。

使用开发操作开发的原生云进一步使用开发操作作为其安全组件。DevSecOps试图将安全性融入到速度、敏捷性和持续交付的过程中。但是,如果DevSecOps忽略集成、业务流程功能和控制,并且对用户的安全性较低,那么在连续交付系统中提供安全性可能会很困难。

云本地漏洞

云本地漏洞肯定正在发生。我们是人,肯定会犯错误,尤其是在苛刻的截止日期和产品交付之后。尽管有所有的警告、迹象和预防措施,我们也会做出一些错误的判断。

在警告的过程中,人们继续盲目地从堆栈交换中复制粘贴来掩盖在GitHub上发现的应用程序,甚至毫无线索地从文件夹中随机抽取代码,只能怀疑作者从未见过甚至与第三方交谈过。

microservice应用程序的分布式本质意味着,即使所有代码都是内部编写的,不同的组件也可能被不同的团队拥有,从而消除了第三方参与者的风险。

团队之间的沟通障碍会导致一系列的问题,包括测试中缺乏协调、质量保证,甚至应用程序中漏洞的解决。

一个单一的云本地应用程序可以包含分散在许多基础上的数千个剩余任务。本地数据中心、许多公共云和边缘数据中心可能会有奇特的微服务,最后,在组织领域,我们似乎还不能发展。

每个开发人员和开发团队都知道并理解如何解决不同的问题。他们所做的是相应地培养他们的注意力和知识。在内部代码环境中,即使所有部门都以某种方式保护其更广泛的程序的一部分,微服务也必须联系其他部门,通信在这里是一个风险或漏洞。

所有这些陈述听起来令人生畏和恐惧,但是云确实解决了一些非常复杂的实际问题,我们不能再忽视它的存在。随着我们不断升级其安全性,基于云的漏洞也在不断发展和存在。

对云本地应用程序的主要威胁

尽管公司开始体验到云本地应用程序的好处,但他们对处理和维护此类系统的实际方面知之甚少。与云环境相比,保护的后果与传统系统的后果有显着不同吗?保护措施和保障措施如何影响它们?

以下是基于云的环境的一些最高安全问题:

1。云误配置

IaaS和云数据存储的误配置是当今一些最具破坏性的云违规和数据泄露的主要原因。无论您是想要删除结构化云安全设置、使用通用代码、无限制访问某些资源,还是出于任何其他原因,错误配置问题都会导致许多未知威胁,这些威胁只有在尴尬遭遇后才会在报纸上频繁出现。根据最新的《2019年云安全报告》,大约40%的组织认为云平台的错误配置是他们对网络安全的主要担忧。

2。商业管理的信息技术

不要担心“影子信息技术”或“流氓信息技术”。可以毫不夸张地说,一些公司已经将基础设施收购的趋势标记为“商业管理的信息技术”,以及为收购和运营云服务的商业桥梁客户创造和发展的引擎。《Harvey Nash /毕马威CIO 2019调查》报告称,超过三分之二的公司目前促进或允许企业的信息技术管理。这是因为这些公司击败行业竞争对手的能力提高了52%,提供更好的员工服务的可能性提高了38%。

令人担忧的是,如果没有信息和网络安全专家的合作,这些孤立的云技术孤岛可能会成为组织的巨大安全屏障。这些公司的发展相当快,但调查显示,潜在安全危险的冗余波长的概率是后者的两倍。

3。购买云产品

《云保护联盟报告》表明大多数公司依赖于各种供应商的云环境来购买云产品。约66%的公司有云环境,其中约36%依赖于云和混合系统的混合。

目前,云计算为其云消费者提供了一系列服务(SaaS、PaaS、IaaS),因为云实际上是所有其他希望降低运营处理成本的企业的首选工具。云在其整个环境中提供安全性、快速响应和服务质量。但是,每当用户无法从一个云迁移到另一个云时,它都会保持成本和服务质量的可扩展性。为了克服这种云计算框架,引入了基于云的系统之间的资源动态共享。在云设备中,安全性甚至更加复杂。

4。混合架构

根据着名的《云安全联盟报告》,大约55%的组织拥有复杂的混合云计算环境。该系统为大型组织逐步过渡到云提供了一个很好的途径,但当他们难以在整个体系结构中跟踪资产和监控众多混合云连接的活动时,它带来了安全挑战。事实上,Firemon之前发布的一份报告显示,80%的组织都在挑战混合安全监控和管理工具的局限性和复杂性。

5。暗数据

就像电信行业的暗光纤一样,暗数据也适用于企业和企业。这里有许多未开发且大多不受监管的数据。他们只是存在,什么也不做。

不幸的是,尽管深色光纤明显代表了只有照明才能增加功率和带宽的优势,即使它们被识别和忽略,深色数据也可能有安全风险,无论它们是在用户手中出错还是超出了用户的范围。

大多数关于暗数据的争论倾向于关注组织的潜在价值和有用性。事实上,对于那些愿意花费资金(金钱、设备和时间)来创造和利用隐藏在黑暗数据中的知识和兴趣的组织来说,这些前景无疑是有利可图的。这也解释了为什么许多公司拒绝在短期内或规划过程中交换黑暗的细节,即使他们不打算代表他们工作。

像许多潜在的有吸引力的信息资源一样,企业也必须认识到,黑暗数据或关于黑暗数据的黑暗数据、他们的客户和他们的云操作可能会对他们的持续健康和福祉构成风险,超出他们的直接控制和管理。根据最近的一项研究,40%的组织仍处于集装箱环境安全策略的规划或基本阶段。

6。集装箱和集装箱排列

如果您使用容器在表面上开发应用程序,或者将现有的单一来源(整体)应用程序引入到容器化的生态系统中,您必须了解容器环境会带来奇怪的安全威胁。从第一天开始,你就应该准备好应对这些威胁。开始建造你自己的容器,并在生产行业安装和运行。

以下是最常见的容器安全风险:

特权标志:即使那些对容器有深入了解的人也能知道特权容器的含义。使用特权标志的容器几乎可以执行服务器可以执行、执行和获得对客户端资源的访问的任何操作。这意味着,如果入侵者进入一套受保护的标志盒,他们可能会被摧毁。

无限交互:为了实现其目标,容器必须相互交互。然而,容器和微服务的数量以及容器的短期设计通常意味着很难实施符合最低许可概念的网络或防火墙规则。但是,您的目标应该是使容器只在减少攻击面所必需的容器中进行交互。

缺乏隔离:集装箱安全是一把双刃剑。除了使用寿命短和功能有限之外,它们的恒定特性还提供了各种安全优势。但是容器也可以用来攻击主机。正如我们之前讨论过的,这种危险存在于标有特权的容器中。底层主机可能会受到许多其他错误配置的威胁。

确保整体安全性

为了接近云的本机安全性,最好不要使用传统的手动安全技术。此外,为了建立一个成功的开发团队,信息技术部门应该集中精力将自动化和安全人员集成到开发团队中。由于其容器基础设施中的微服务架构软件包,基于云的应用程序可以比传统应用程序扩展得更快。上述情况意味着手动安全方法太慢,无法保留,自动化是强制性的。将安全团队分组到DevOps组可以确保安全被包含在应用程序代码中,而不是在发现问题后被修改。这也可以加快和澄清对问题的反应。

让我们来讨论一下在确保整体网络安全方面具有巨大潜力的五大开发平台支柱:

安全和合规部署管道:分析工具、集成管道,以及如何将合规和审计集成到开发平台和云原生开发管道中。

安全合规的云平台:身份和访问管理评估、检测控制、基础设施保护、数据保护和事件响应。

代码一致性:在软件开发过程中,合规被视为一个代码框架,以确保管理、合规和任何风险缓解问题。

机密信息管理:在混合云业务模式中管理敏感的基于云的信息、密钥和证书。

容器隐私:容器如何适应安全策略,如何链接容器安全威胁,以及如何审查容器操作模型和检查。

所有这些支柱都是重点领域,因此业务安全已经得到了一致和全面的应用,需要进一步审查。为了给每个执行支柱提供一个跨部门的愿景,所有支柱都是横向管理的。这些治理模式适用于每个支柱,并确保支柱以互利的方式运作。

受保护的交付:确保受支持的应用平台和云基础设施稳定、合规且安全。

安全模式:开发安全定位和威胁模型,以支持客户的多样化接受。

信息保护:确保内部和外部员工不受客户数据的保护。

风险评估:包括当前的架构、容器策略和云基础架构,并对应用程序进行差距分析。

技术变更日志:创建战术实施的有序积压,并通过交付工程结果来推动3-6个月的路线图和战略实施计划。

对新安全原型的需求

统计显示,到2021年,92%的公司将成为基于云的公司。

话虽如此,通常给组织带来麻烦的是为它构建一个价值5000美元的应用程序和一个价值5美元的安全系统。就云安全而言,安全是相同或更重要的因素。因此,发展合作的概念需要尽快实施并得到认真对待。

DevSecOps在应用程序开发过程的所有阶段都提供了兼容性,并负责设计和

第一步是在团队之间分配岛屿,以确保每个人都负责保护。由于开发团队出于安全原因构建应用程序,Ops将更快地交付软件,让您高枕无忧,因为他们知道开发人员知道稳定性和保护至关重要。

事实上,必须有一个立即进行安全检查的过程。

服务器记录表明谁做了更改,做了什么更改,什么时候做的。这些都是审计程序时需要了解的重要事实。维护保护的最简单方法是始终确保系统运行最新的软件更新。安全修复不需要几个月,应该是快速和自动的。同样,在开发API和新函数时,应该进行潜在的更新,以防止软件承担责任,并防止框架被修补以防止崩溃。

当创建云本地应用程序时,仍然没有单一的安全方法来保护您的软件。为了保护云中的服务器资源,您需要采用各种方法。为了保护你的容器,你需要采取几种策略。归根到底,要将安全性放在适当的优先级列表上,您需要DevSecOps策略。

什么是理想的云本地安全框架?

为了允许基于云的转换,公司在设计安全策略之前需要考虑以下进一步的要求:

高标准的安全自动化:基于常规预防措施的安全操作根本不能保持基于云的系统几乎无限动态。它根本不是手动工作流程的选择。对云本地安全性的要求是自动检测和大规模敏感性。

混沌设计:在微服务架构中,运行时组合的许多软件组件可以用于任何功能。从安全角度来看,这意味着检测和控制的逻辑不能依赖于操作安全的先验知识。云主要安全性应该包括混沌工程的原理,以高效和有效地运行测试。

快速识别、本地覆盖和即时跟踪:云本地程序本质上是分配给计算应用程序的。在这样的生态系统中,全球安全选择不容易随后执行。因此,您希望对措施进行优先排序,以便在恶意趋势蔓延到整个系统之前快速识别、恢复和覆盖本地影响。尽管您的安全决策不是100%准确,但本地操作和快速恢复可以为您提供更兼容的现有系统。

那么,您的云解决方案应该具有什么本机安全性?简而言之,让我们关注编译器函数。作者认为主要功能如下:服务器、虚拟机、数据库、软件和应用编程接口服务中的“混合堆栈可见性和决策支持”,即使应用程序是分布式的,在短期内仍然是动态资源和容器,仍然需要云本地数据中心的可见性和决策支持。在这些不同层上获得的数据应该进入引擎,以便选择过程可以实时执行。

快速反应和报警功能可限制爆炸半径

在发生事故或袭击时,安全解决方案将减少和控制影响。这一论点相当于及时的决策和有见地的控制措施,可以在不可逆转的损害发生之前防止恶意行为。在云原生环境中,智能检测系统可以完全识别入侵的发生并影响本地控制。

严格的监控和调查

由于所有分布式组件和应用编程接口服务,云本地工作负载安全调查可能非常复杂,因此监控和安全调查必须最大限度地降低性能影响和存储要求。这包括没有网络瓶颈和可扩展工作负载的集中式监控体系结构。

与自动化工具的集成

容器工作负载可以由Kubernetes、Openshift、亚马逊ECS或谷歌GKE在云环境中进行管理。您可以(可选)使用Puppet、Ansible或Chef来自动部署。安全工具可以与要保护的工作负载一起自动部署,云环境必须是与这些组件的必要集成。

对于取代第一代物理服务器和虚拟机的事件驱动容器和应用程序,安全性必须找到合适的切入点,以最大限度地提高可见性并降低风险,同时允许创造性并适应连续云交付的复杂性。

Conclusion

从整体环境迁移到基于云的环境听起来确实很吸引人,但是一旦你决定这样做,一定要评估所有的位置

我希望这篇文章对你有用。欢迎来到评论区,与我们讨论。回到搜狐看更多“负责任的编辑”:

成人小视频在线观看|jav成人视频在线看|韩国成人在线