sre8 sre10

“我们不能再在无状态的世界中设计基于状态的安全性。” —雷纳特

“我们形成了假设，但我们从未对其进行过检验。” —伯格斯特伦

在过去的几年中，DevOps，混乱工程和站点可靠性工程（SRE）在全球工程界发生了根本性的变化。 安全工程学科已通过DevSecOps，坚固的DevOps和其他名称变体逐渐进入DevOps。 本文的目的是将混乱的工程和SRE应用于网络安全领域，目的是分享我们在旅途中收集到的见解，并向社区提出挑战，以不同的方式思考安全系统的设计方式。

就像建筑物周围的围栏一样，基本的安全控制措施只能起到威慑作用：就像围栏可以轻松突破一样，凭证和访问也可以轻松实现。 入侵者确定如何获得访问权限后，他们就可能对整个建筑物拥有自由统治权。 为了防止这种情况，现代建筑设有安全门，限制进入的电梯和内置摄像头系统。 最安全的地板还包括特别大堂，甚至还有武装警卫。 系统安全性应采用类似的方法进行设计：限制对API路径的访问，允许轻松阻止请求，将授权的操作和参与者列入白名单以及对所有流量和存储进行加密。 就像试图访问建筑物的未经授权的访客一样，不属于系统的请求也应被标记并停止。

分布式系统中的反馈循环和安全性

即使现代软件变得越来越分散，快速迭代并且主要是无状态的，今天的安全性方法仍然主要是预防性的，有针对性的并且依赖于时间状态。 它缺乏使现代产品交付成功的快速迭代反馈循环。 在产品环境的变化与确保其安全的机制之间应该存在相同的反馈环。 安全措施应具有足够的迭代性和敏捷性，以根据其运行所在的软件生态系统的频率来更改其行为。

安全控件的设计通常考虑到特定的状态（即，第0天的生产版本）。 同时，围绕这些控件的系统生态系统每天都在Swift变化。 微服务，机器和其他组件在不断旋转。 通过连续交付，组件更改一天会发生多次，外部API会根据自己的交付时间表不断变化，等等。安全工具和方法必须足够灵活，以适应环境中的不断变化和迭代。 没有安全反馈回路，系统最终将陷入安全故障，就像没有开发反馈回路的系统会陷入不可靠的运行准备状态一样。

一种新的检测手段：不仅仅是测试—实验

在现代分布式系统中，不断变化的无状态变量使得几乎不可能了解系统在任何给定时刻的运行情况。 解决此问题的一种方法是通过强大的系统仪表和监视。 您可以将安全检测分为两个主要的存储桶：测试和试验。 测试是对先前已知结果的验证或评估，或者简单地说：在寻找结果之前，我们先知道要寻找的是什么。 实验试图获得以前未知的新见解和信息。

现场可靠性工程和混沌工程

“如果您还没有尝试过，那就假设它坏了。” - 未知
“没有计划能够在与敌人第一次接触中幸存下来。” - 赫尔穆特·毛奇面包车

SRE的两个主要职责是量化对其维护系统的信心，并提高对系统预期性能的信心。 置信度可以通过过去的表现来衡量，并可以通过了解未来的可靠性来预测。 全面的测试有助于以足够的细节来预测将来的结果，以使其实用和有用。 测试和实验涵盖的系统越完整，不确定性和潜在的系统不可靠性就越小。 通过足够的测试，您可以在系统可靠性降至可接受水平以下之前进行更多更改。

这些相同的测试和检测方法也适用于安全性实验。 Google的SRE核心原则之一是“实践，实践，实践”。 重要的是，不仅要通过一致且严格的测试来增加系统内的反馈循环，而且还要确保团队在需要时已做好运营准备和战斗力。

将安全故障事件注入系统有助于确保抵御我们已知的由人为因素造成的漏洞。 与雇用安全顾问闯入高层建筑类似，我们一直在测试我们快速识别和修复隐患的能力。 我们努力镜像生产安全控制平面中可能发生或历来发生的安全失败模式，并寻找在受控环境下模拟这些失败模式的方法。 SRE，产品团队和安全团队应实施安全控制并对他们的服务进行编码，以承受潜在的故障，并在必要时适当降级而不会影响业务。 常见的SRE格言是手动执行一次，第二次自动执行。 SRE的主要功能是致力于自动化以改善系统。 通过继续运行安全性实验，我们可以在生态系统陷入危机之前主动评估和改善此类漏洞。

安全+混乱的工程=安全实验

从历史上看，将混沌工程应用到网络安全中一直关注于人为因素和系统故障如何直接影响系统安全。 发现安全故障的最常见方法是触发安全事件。 到这个时候，通常为时已晚，并且已经造成损坏。 我们必须采取更积极的态度。 将这两个学科结合在一起就导致了安全性实验，我们希望这将成为发展学习文化的基础，该文化围绕组织如何构建，操作，检测和保护其系统而进行。

在设计安全系统的过程中认识和预测故障已经从根本上挑战了我们所知道的系统运作方式，即使无法展开。 在探索这一新领域时，我们将继续分享我们的发现。

如果您有兴趣了解有关我们研究的更多信息或想参与其中，请联系Aaron Rinehart或Patrick Bergstrom 。

[请参阅我们的相关故事《 安全混乱工程：网络安全的新范例》 。

翻译自: https://opensource.com/article/18/3/through-looking-glass-security-sre

sre8 sre10