企业应当实施的5个云安全管理策略
你知道吗?65%的企业都认为他们无法同时兼顾安全和创新,因为他们认为开发人员需要拥有访问所有资源的权限才能获得更大的开发自由。那么有没有办法既能够确保开发过程的安全性同时也能保留敏捷所需的资源呢?在瞬息万变且日益复杂的云计算生态中能否实现呢?是否同时也让 DevOps 团队便于管理呢?或许我们可以从云安全管理中找到答案。
什么是云安全管理?
云安全管理是一个多步骤流程,目的在于主动应对潜在的安全漏洞。它需要跨越整个组织的云依赖关系,从会议、电子邮件和客户管理服务到开发团队使用的 PaaS(平台即服务)。
云资产的安全管理还需要包括数据加密、保护员工使用的各种设备以及管理用户凭据。最重要的是,云安全管理是一个持续的过程。因此,需要定期更新和维护。
为何 DevOps 应该关心云安全管理?
大部分人会理所当然的认为云安全管理是安全团队的工作。但实际上,云安全应该是每个人的责任。IT 安全策略有时无法满足开发人员的需求,尤其是在工作负载均衡 docker 和容器方面。这就是 DevOps,或者更准确地说,是 DevSecOps 和 CloudOps 的作用所在。
往往企业认为不间断的开发节奏会更加高效,因此倾向于将安全放在软件开发周期的最后。但这样的做法通常导致完全相反的结果。因为在 DevOps 周期末尾时的安全评估往往会指出不合规问题,而处理这些问题会导致产品无法按时面市。而由于开发周期已经结束,有些企业的高管有时会冒着没有合适安全预防措施的情况下将产品推向市场。
而在云安全方面,只有不到60%的企业为开发人员明确了安全策略,而这其中只有四分之一的企业认真执行了这些策略。使用云能够企业带来许多优势,但其对应的安全风险也不容忽视。DevOps 必须在开发周期内制定明确的安全计划和指南,来避免或主动解决已知或潜在的安全问题。
企业应当实施的5个云安全管理策略
与传统计算不同,云计算十分复杂。这是一个永无止境的安全和合规之旅。直白来说,每个处理云工具和环境的 DevOps 专业人士都应该了解一些云安全基本知识。
1. 使用第三方安全服务
如今,大多数企业都采用多云基础架构,和不止一个云基础架构提供商进行合作。每个平台都有一套自己的安全工具,来保护特定云平台提供的服务安全。随着采用的云提供商和解决方案数量的增加,多个日志中的警报和通知也越来越多。因此企业需要确定报告的哪些风险和威胁实际上值得跟进和处理,这往往需要花费大量的时间和成本,因为企业需要为这些风险和威胁开发对应的威胁建模方法。
除了平台自带的安全工具,可以选择外部专业安全服务。这些服务能够帮助企业节省管理多个仪表盘和监控系统的时间和精力。外部安全服务提供商的目标是与所有云服务和平台集成,以接触最广泛的客户群体,这也外部安全服务成为集中式云安全管理的理想解决方案。
2. 保护云凭据
敏感信息如果被(有意或无意)放在错误的地方将会导致灾难性事件。由于安全漏洞,敏感信息被上传到代码存储库,Uber 有5700万条信息被泄露。
DevOps 和开发人员在设计流水线时关注速度和效率,而安全性是信息安全团队和 IT 部门经常关心的问题。开发时,企业的注意力常常放在产品和客户端的安全性上,而不是云工具的安全性上。这可能导致云凭据丢失、泄露、暴露和滥用。
因此,企业十分有必要加强员工的保护云凭据的意识,同时在内部进行安全宣教,教育员工如何识别网络钓鱼。一旦员工有意识保护凭据信息,企业则更容易执行安全策略。同时企业可以实施密钥和密码轮换,并确保密钥/密码安全性高且不易被暴力破解。
Gartner Inc. 研究发现高达 95%的云数据泄露是人为错误(例如配置错误)造成的。为了保护云凭据免受这些错误的影响,DevOps 团队需要确保将凭据扫描工具集成到 CI/CD 流水线中。
3. 扫描 IaC、容器及镜像以查找错误配置
易受攻击的配置文件往往是和缺乏相应的专业知识挂钩,而忘记关闭公开访问权限的事情也时常发生。事实上,在扫描的 CloudFormation (AWS IaC)配置文件中接近一半存在错误配置,这也表明错误配置是普遍现象。
图片来源:Palo Alto Networks
有时开发人员需要设置一些公共读取权限,来检查某些内容是否正常运行,而事后忘记修改权限。为了避免配置出错,企业可以使用自动化工具来扫描配置文件。相比手动扫描配置文件,自动化工具能够高效且有效地扫描文档并查找错误。
4. 实施最小访问权限原则
让每个人可以无限制地访问所有内容,的确让开发过程更加通畅,但也让开发过程安全隐患重重。并不是每个人在此过程中都明确知道自己做了什么,做错了什么。因此执行最小访问权限原则(least access privilege principle)可以大大减少发生错误的概率和区域。
以下是企业可以采取减少访问权限的措施:
取消终端用户机器上的管理员权限
保护账户凭据
监控特权访问确保其合理使用
限制授予开发人员对其特定需求的访问权限
限制对生产系统的访问
权限访问管理(Privilege Access Management, PAM)可以将上述措施的过程自动化,其中包括生命周期内特权访问的监控、审计和强制合规。PAM 的实施可以让企业在开发过程中随时增加或取消访问权限,确保随着时间的推移保持最小访问权限。
5. 在 CI/CD 流水线中实现持续的安全性
在谈论性能、产品设计或代码时,“Start now, optimize later” (先启动,再优化)并不是个坏的选择。但涉及安全时,“optimize later” 可能意味着巨大的安全风险。在 CI/CD 中尽早实施安全策略有助于维护开发周期的安全性,还能极大地减少合规和配置错误的问题。
“持续安全”指在整个开发过程中测试安全性的方法,使开发过程保持敏捷的同时,允许开发人员及时响应发现的任何问题。通过保障开发的合规性和安全性,企业在需要时可以安全地在云上进行拓展。
图片来源: HyTrust
同时企业需要严格把控权限管理,确保仅在人员有访问需要时授予权限,以及确保配置文件具有适当的限制性。
企业应当实施的5个云安全管理策略相关推荐
- 企业在实施采购管理时需要注意哪些问题?
采购管理是指企业为了获得所需的物资和服务等,通过筛选供应商.谈判合同.执行采购计划等一系列过程来实现目标的管理活动.在实施过程中,采购管理需要注意以下几个问题: 1.采购策略的选择 采购策略的选择是采 ...
- 张驰咨询:中国企业如何实施精益生产管理?
精益生产(Lean Production,简称LP)是美国麻省理工学院数位国际汽车计划组织(IMVP)的专家对日本"丰田JIT(Just In Time)生产方式"的赞誉之称,精, ...
- DevOps 在云安全管理中的作用
#关键要点# 一般的开发和集成会产生漏洞,因为它们允许更多的错误机会.这包括使用不安全的开源代码和硬编码机密来简化测试等. ShadowIT 是一个等待发生的漏洞,因为安全团队并不总是知道现在哪些外部 ...
- 北信源IPO,拟筹资开发企业级云安全管理平台
2012年3月29日,证监会发布公告预披露了北信源IPO招股说明书.根据招股说明书,北信源拟筹资2243万建设企业级云安全管理平台项目. 呵呵,不得不说,现在的安全企业IPO在给投资者描述亮点的时候, ...
- 计算机系统集成难点,企业MES实施中存在的难点及建议
MES是企业生产管理服务的核心信息化系统.实施MES是为了将现代企业生产管理思想.理念引入企业生产管理,对企业生产管理流程进行重组和优化,促进企业生产管理水平的提高.可是作用如此大的MES系统在实施过 ...
- 我要你觉得,我不要我觉得--根据企业现状实施DevOps
引言 笔者 2012 年做为敏捷教练入职百度,到 2018 年年底一直做为敏捷教练,在百度内部进行敏捷开发的推广,DevOps 实施工作.在工作过程中,我被频繁的问到以下几个问题: 敏捷/DevOps ...
- 企业信息化投入中咨询服务_咨询服务企业如何实施项目核算信息化建设
龙源期刊网 http://www.qikan.com.cn 咨询服务企业如何实施项目核算信息化建设 作者:黄艳 方宜仙 来源:<中国经贸> 2010 年第 24 期 摘要:本文分析了咨询服 ...
- 企业如何通过CRM系统做好客户管理?
每一位客户对于企业都是非常宝贵的资源,也是企业赖以生存和发展的基础,做好客户管理和关系维护是企业必备的一种能力. 如今,随着信息化的发展,很多企业为了更好的管理客户引进了CRM系统,CRM系统可以帮助 ...
- 企业ERP实施的能力成熟度分析(转)
原文来自: http://blog.itpub.net/post/2130/35773 企业ERP实施的能力成熟度分析 发表人:hpj168 | 发表时间: 2005年七月21日, 21:47 由于E ...
最新文章
- 老大,你为什么在代码中要求我们使用LocalDateTime而不是Date?
- python小项目实例流程-推荐三个最适合零基础小白练手的python项目,分享给你!...
- Puppet 实验三 安装和配置
- 程序员去创业公司做CTO,需要注意什么?
- 《Solution-Centric Organization》解决方案导向型组织 节选 III
- spring boot 使用maven和fat jar/war运行应用程序的对比
- 一次关于cisco的portfast网络故障
- 米莱迪机器人加物理攻击_王者荣耀:新法师一姐米莱狄的出装与玩法,教你如何打出逆天输出...
- ios把数据传递到另一个页面_IOS 应用之间的跳转和数据传递详解
- opencv视频读写和视频等间隔采样
- vs用c语言写贪吃蛇,熬书几个月,终于编出简易的贪吃蛇了,VS2013
- 如果人类的历史共有100万年,假设这等于一天
- UVA 644 - Immediate Decodability
- SteamVR Unity工具包(三):控制器交互
- 英语3500词(14/20)dynasty主题 (2022.1.26)
- 爬虫入门(1)——requests(1)
- “华为杯”第十七届中国研究生 数学建模竞赛-【华为杯】B题:降低汽油精制过程中的辛烷值损失模型(附优秀论文)
- 电源系列4:一文学会选择BUCK降压电路电感
- win10子系统linux下cmake编译32位程序
- 音频翻译成中文的工具有哪些?安利两款办公软件