sre8 sre10_透过窥视镜:安全性和SRE
sre8 sre10
“我们不能再在无状态的世界中设计基于状态的安全性。” —雷纳特
“我们形成了假设,但我们从未对其进行过检验。” —伯格斯特伦
在过去的几年中,DevOps,混乱工程和站点可靠性工程(SRE)在全球工程界发生了根本性的变化。 安全工程学科已通过DevSecOps,坚固的DevOps和其他名称变体逐渐进入DevOps。 本文的目的是将混乱的工程和SRE应用于网络安全领域,目的是分享我们在旅途中收集到的见解,并向社区提出挑战,以不同的方式思考安全系统的设计方式。
就像建筑物周围的围栏一样,基本的安全控制措施只能起到威慑作用:就像围栏可以轻松突破一样,凭证和访问也可以轻松实现。 入侵者确定如何获得访问权限后,他们就可能对整个建筑物拥有自由统治权。 为了防止这种情况,现代建筑设有安全门,限制进入的电梯和内置摄像头系统。 最安全的地板还包括特别大堂,甚至还有武装警卫。 系统安全性应采用类似的方法进行设计:限制对API路径的访问,允许轻松阻止请求,将授权的操作和参与者列入白名单以及对所有流量和存储进行加密。 就像试图访问建筑物的未经授权的访客一样,不属于系统的请求也应被标记并停止。
分布式系统中的反馈循环和安全性
即使现代软件变得越来越分散,快速迭代并且主要是无状态的,今天的安全性方法仍然主要是预防性的,有针对性的并且依赖于时间状态。 它缺乏使现代产品交付成功的快速迭代反馈循环。 在产品环境的变化与确保其安全的机制之间应该存在相同的反馈环。 安全措施应具有足够的迭代性和敏捷性,以根据其运行所在的软件生态系统的频率来更改其行为。
安全控件的设计通常考虑到特定的状态(即,第0天的生产版本)。 同时,围绕这些控件的系统生态系统每天都在Swift变化。 微服务,机器和其他组件在不断旋转。 通过连续交付,组件更改一天会发生多次,外部API会根据自己的交付时间表不断变化,等等。安全工具和方法必须足够灵活,以适应环境中的不断变化和迭代。 没有安全反馈回路,系统最终将陷入安全故障,就像没有开发反馈回路的系统会陷入不可靠的运行准备状态一样。
一种新的检测手段:不仅仅是测试—实验
在现代分布式系统中,不断变化的无状态变量使得几乎不可能了解系统在任何给定时刻的运行情况。 解决此问题的一种方法是通过强大的系统仪表和监视。 您可以将安全检测分为两个主要的存储桶:测试和试验。 测试是对先前已知结果的验证或评估,或者简单地说:在寻找结果之前,我们先知道要寻找的是什么。 实验试图获得以前未知的新见解和信息。
现场可靠性工程和混沌工程
“如果您还没有尝试过,那就假设它坏了。” - 未知
“没有计划能够在与敌人第一次接触中幸存下来。” - 赫尔穆特·毛奇面包车
SRE的两个主要职责是量化对其维护系统的信心,并提高对系统预期性能的信心。 置信度可以通过过去的表现来衡量,并可以通过了解未来的可靠性来预测。 全面的测试有助于以足够的细节来预测将来的结果,以使其实用和有用。 测试和实验涵盖的系统越完整,不确定性和潜在的系统不可靠性就越小。 通过足够的测试,您可以在系统可靠性降至可接受水平以下之前进行更多更改。
这些相同的测试和检测方法也适用于安全性实验。 Google的SRE核心原则之一是“实践,实践,实践”。 重要的是,不仅要通过一致且严格的测试来增加系统内的反馈循环,而且还要确保团队在需要时已做好运营准备和战斗力。
将安全故障事件注入系统有助于确保抵御我们已知的由人为因素造成的漏洞。 与雇用安全顾问闯入高层建筑类似,我们一直在测试我们快速识别和修复隐患的能力。 我们努力镜像生产安全控制平面中可能发生或历来发生的安全失败模式,并寻找在受控环境下模拟这些失败模式的方法。 SRE,产品团队和安全团队应实施安全控制并对他们的服务进行编码,以承受潜在的故障,并在必要时适当降级而不会影响业务。 常见的SRE格言是手动执行一次,第二次自动执行。 SRE的主要功能是致力于自动化以改善系统。 通过继续运行安全性实验,我们可以在生态系统陷入危机之前主动评估和改善此类漏洞。
安全+混乱的工程=安全实验
从历史上看,将混沌工程应用到网络安全中一直关注于人为因素和系统故障如何直接影响系统安全。 发现安全故障的最常见方法是触发安全事件。 到这个时候,通常为时已晚,并且已经造成损坏。 我们必须采取更积极的态度。 将这两个学科结合在一起就导致了安全性实验,我们希望这将成为发展学习文化的基础,该文化围绕组织如何构建,操作,检测和保护其系统而进行。
在设计安全系统的过程中认识和预测故障已经从根本上挑战了我们所知道的系统运作方式,即使无法展开。 在探索这一新领域时,我们将继续分享我们的发现。
如果您有兴趣了解有关我们研究的更多信息或想参与其中,请联系Aaron Rinehart或Patrick Bergstrom 。
[请参阅我们的相关故事《 安全混乱工程:网络安全的新范例》 。
翻译自: https://opensource.com/article/18/3/through-looking-glass-security-sre
sre8 sre10
sre8 sre10_透过窥视镜:安全性和SRE相关推荐
- sre8 sre10_是什么使SRE出色?
sre8 sre10 在2018年1月,数字体验监控公司Catchpoint对416名具有站点可靠性工程师(SRE)职称或职责的专业人员进行了调查. 该调查的目的是找出成为SRE的真正含义,研究站点可 ...
- 运行sre10_在生产中运行Java:SRE的观点
运行sre10 作为站点可靠性工程师 (SRE),我确保我们的生产服务高效,可扩展且可靠. 典型的SRE是生产大师,必须对更广泛的体系结构有很好的了解,并精通许多更精细的细节. SRE是会说多种语言的 ...
- 物理-光学仪器-三菱镜:三菱镜 百科
ylbtech-物理-光学仪器-三菱镜:三菱镜 百科 三菱镜,是由透明材料作成的截面呈三角形的光学仪器,也叫"棱镜"光学上用横截面为三角形的透明体叫做三棱镜,光密媒质的棱镜放在光疏 ...
- 从 Gartner 2023 年重要战略技术趋势看 SRE 的发力点
每年,Gartner 都会选择一些具有重要战略意义的技术趋势,并将这些趋势整理成一份报告对外发布. 2022 年 10 月 18 日,Gartner 发布了 2023 年十大战略技术趋势.Gartne ...
- nosql非关系型数据库_从Datomic出发,革命性的非NoSQL数据库
nosql非关系型数据库 我终于设法了解了当今最不寻常的数据库之一,Datomic,并希望与您分享. 感谢Stuart Halloway和他的工作室! 为什么?!? 我们很快就会看到,Datomic与 ...
- 人机交互-11-往年试卷
1. 选择题 [2016](Nielsen)提出了十条启发式设计原则 [2014]文件复制到另一地方,会出现显示动画,这个属于(反馈)现象 2. 简答题 2.1. 写出下列核心词汇的英文全称(6') ...
- 把悲伤留给自己:依依搜集伤感空间日志
把悲伤留给自己:依依搜集伤感空间日志 - 把悲伤留给自己:依依搜集伤感空间日志 曾经两个相爱的人,一方提出分手,另一方痛苦是肯定了.但是,不管有多痛,分手时,你都不要和曾经爱你的人和你爱的说狠话.你好 ...
- 网站 、平面的配色方案之二
基本配色--浪漫2 基本配色--浪漫3 十二.基本配色--流行 -------------------------------------------------------------------- ...
- 科学染发,美丽与健康同行
现如今,染发逐渐成为了一种时尚.年轻人赶时髦,配合服饰和妆容进行染发达到靓丽的效果,年长者也可以通过染发"再现青春活力".由于染发过程直接接触人体,对染发类化妆品的科学认知变得尤为 ...
- 2021-07-15 2021年保安员(初级)找解析及保安员(初级)证考试
题库来源:安全生产模拟考试一点通公众号小程序 保安员(初级)找解析参考答案及保安员(初级)考试试题解析是安全生产模拟考试一点通题库老师及保安员(初级)操作证已考过的学员汇总,相对有效帮助保安员(初级) ...
最新文章
- 补全依赖_VIM JavaScript补全(2019)
- 软路试--就像一棵树活着
- 匿名内部类使用的场景之一
- 计算机原理eprom,eprom eeprom和flash储存器的工作原理及区别
- Linux RAID磁盘阵列
- Qt文件编码转换工具(三) Qt界面设计
- Tip:在使用AjaxControlTookit的控件时响应事件
- android --------学习流程图
- JSK-16013 价钱统计【基础】
- 亡命逃窜---三维搜索
- VM虚拟机手动配置IP地址
- 如何运用Origin进行曲线拟合
- 惯性系统常用坐标系_惯性技术常用坐标系
- 猜一宋词名句 Java_《宋词三百首》里的50个名句,最适合发朋友圈
- 解码mmo游戏服务器二:地图自动寻路
- 注册一个域名需要多少钱_注册一个新的域名需要多少钱 注册域名费用明细
- 使用Excel中PPMT函数和IPMT函数进行等额本息还款的计算方法
- vc-complex-type.2.4.c: 通配符的匹配很全面, 但无法找到元素 ‘context:property-placeholder‘ 的声明。
- 作为程序员,首先要自清自己是什么人
- Intranet+Intranet QA-11/20 游记
热门文章
- 多场景双师课堂解决方案
- 字节跳动正式宣布要做全网搜索,百度真正的危机来了!
- sql语句中的right函数
- 华硕主板无盘启动bios设置_华硕主板bios设置图解教程
- android10 systemUI亮度调节分析
- java课程设计 成绩_Java课程设计—学生成绩管理系统(201521123005 杨雪莹)
- obsidian如何修改主题
- opencv-11-中值滤波的C++实现与自适应中值滤波
- php 获取windows进程,PHP获取python进程并终止它。Xamp/Windows
- Python书法碑帖分割(分别以对于汉字命名)