成人午夜视频全免费观看高清-秋霞福利视频一区二区三区-国产精品久久久久电影小说-亚洲不卡区三一区三区一区

在運(yùn)行時(shí)與構(gòu)建時(shí)如何保護(hù)云計(jì)算基礎(chǔ)設(shè)施

在運(yùn)行時(shí)與構(gòu)建時(shí)如何保護(hù)云計(jì)算基礎(chǔ)設(shè)施對于云原生環(huán)境來說,企業(yè)只在運(yùn)行時(shí)采用安全措施已經(jīng)不夠。
在當(dāng)今的云原生世界中,隨著基礎(chǔ)設(shè)施的飛速發(fā)展,大規(guī)模構(gòu)建云計(jì)算環(huán)境需要可再現(xiàn)性和彈性,因此需要從一開始就優(yōu)先考慮快速更改和擴(kuò)展基礎(chǔ)設(shè)施的能力。令人感興趣的是,對于許多人來說,云計(jì)算安全性只與在運(yùn)行時(shí)發(fā)生的錯(cuò)誤配置和違規(guī)行為有關(guān)。
如果在構(gòu)建時(shí)不關(guān)注流程和代碼,就無法確定基礎(chǔ)設(shè)施問題,這與企業(yè)設(shè)計(jì)和構(gòu)建現(xiàn)代云計(jì)算基礎(chǔ)設(shè)施的方式不符。如果構(gòu)建不可變的基礎(chǔ)設(shè)施,則需要開始考慮如何保護(hù)不可變的基礎(chǔ)設(shè)施,而只是孤立地提高運(yùn)行時(shí)的安全性是不夠的。另一方面,如果只在構(gòu)建時(shí)解決云計(jì)算安全風(fēng)險(xiǎn),但缺乏生產(chǎn)基礎(chǔ)設(shè)施的完整環(huán)境的話,也可能在云計(jì)算環(huán)境中留下漏洞。
以下將重點(diǎn)關(guān)注通過在構(gòu)建時(shí)和運(yùn)行云計(jì)算基礎(chǔ)設(shè)施時(shí)掃描來檢測安全問題,概述它們的價(jià)值和缺陷,以說明同時(shí)利用這方面的重要性。
運(yùn)行時(shí)的云安全狀態(tài)管理
為了應(yīng)對云計(jì)算環(huán)境變得越來越復(fù)雜的局面,云計(jì)算提供商圍繞云計(jì)算資源的管理提供了豐富的元數(shù)據(jù)和遙測技術(shù)。建立可持續(xù)的云安全計(jì)劃需要對這些數(shù)據(jù)進(jìn)行一致且可擴(kuò)展的收集和分析。
技術(shù)社區(qū)主導(dǎo)的項(xiàng)目(如AWS公司的Prowler和谷歌云的Forseti)應(yīng)運(yùn)而生。這兩個(gè)項(xiàng)目都率先使用了公開的API來收集配置數(shù)據(jù)并檢查配置錯(cuò)誤,實(shí)現(xiàn)了對部署后配置錯(cuò)誤的檢測。
現(xiàn)在,大多數(shù)云計(jì)算提供商都在其控制平臺管理服務(wù)中包含了此類功能。使用AWS配置、Azure策略和Google資產(chǎn)清單等原生工具,獲得云計(jì)算的基本可見性比以往任何時(shí)候都容易。
運(yùn)行時(shí)的云安全性當(dāng)然是實(shí)踐,但它也有其自身的優(yōu)點(diǎn)和缺陷:
(1)變更追蹤
運(yùn)行時(shí)掃描遵循配置的實(shí)際狀態(tài)。當(dāng)以多種方法管理配置時(shí),運(yùn)行時(shí)掃描仍然是識別和評估隨時(shí)間變化的配置的主要技術(shù)。
(2)符合法規(guī)要求
大多數(shù)受監(jiān)管的行業(yè)現(xiàn)在需要持續(xù)的變更控制審計(jì)和跟蹤。為了滿足這些需求,大多數(shù)掃描程序都將它們的發(fā)現(xiàn)映射到行業(yè)基準(zhǔn)。一旦控制被映射到基準(zhǔn)部分,企業(yè)就可以使用掃描報(bào)告作為基準(zhǔn)證據(jù)來滿足大多數(shù)行業(yè)特定的需求和審核。
(3)接近實(shí)時(shí)結(jié)果
根據(jù)掃描頻率,運(yùn)行時(shí)掃描可以快速識別和分類正在進(jìn)行的問題。將掃描程序連接到票證或監(jiān)視工具可以幫助確保更快的響應(yīng)和緩解。
(4)低信噪比
大多數(shù)掃描程序仍然嚴(yán)重依賴缺乏場景的確定性檢測邏輯,從而導(dǎo)致一堆無關(guān)緊要的發(fā)現(xiàn),尤其是對于資源壽命較短的動(dòng)態(tài)環(huán)境。例如,在使用自動(dòng)縮放的環(huán)境中,運(yùn)行時(shí)掃描將在兩次掃描之間返回不一致的結(jié)果,并產(chǎn)生不代表最新資源狀態(tài)的輸出。此外,掃描多方面的身份識別與訪問管理(IAM)權(quán)限或完整的網(wǎng)絡(luò)拓?fù)淇赡軙e(cuò)誤地警告配置更改。
(5)不切實(shí)際的發(fā)現(xiàn)
標(biāo)記錯(cuò)誤配置后,最直接的問題通常是“我們該怎么做才能解決?”,如果修復(fù)單個(gè)云配置錯(cuò)誤需要更多的人工步驟,或者無法還原配置,那么其升級最終浪費(fèi)了開發(fā)人員寶貴的時(shí)間。
(6)重復(fù)的錯(cuò)誤配置
對于利用基礎(chǔ)設(shè)施代碼框架來協(xié)調(diào)云計(jì)算資源的團(tuán)隊(duì)而言,只是在運(yùn)行時(shí)修復(fù)錯(cuò)誤配置會帶來重復(fù)發(fā)生的風(fēng)險(xiǎn)。為了確保不會發(fā)生云計(jì)算配置錯(cuò)誤,必須在源頭進(jìn)行補(bǔ)救。
構(gòu)建時(shí)云安全狀態(tài)管理
在構(gòu)建時(shí)云計(jì)算基礎(chǔ)設(shè)施掃描配置并不是什么新鮮事。識別編碼錯(cuò)誤已經(jīng)有一段時(shí)間了,尤其是在應(yīng)用程序安全中。然而,隨著基礎(chǔ)設(shè)施作為大規(guī)模提供云計(jì)算資源的代碼的興起,這種方法的應(yīng)用在過去幾年中得到了極大的擴(kuò)展。
以代碼方式管理的掃描配置使用與運(yùn)行時(shí)掃描程序相同的高級策略,并搜索相同的資源及其配置狀態(tài)。通過使用基礎(chǔ)設(shè)施即程序代碼(IaC)掃描程序(例如開放源代碼工具Checkov),配置文件被視為獨(dú)立的清單,用于描述如何配置資源和設(shè)置屬性。
通過應(yīng)用在運(yùn)行時(shí)解決云計(jì)算安全性方面獲得的許多經(jīng)驗(yàn)教訓(xùn),可以使用構(gòu)建時(shí)掃描來發(fā)現(xiàn)其他有價(jià)值的方面和缺點(diǎn):
(1)可行的調(diào)查結(jié)果
通過在代碼中列出并管理配置,可以更容易地找到導(dǎo)致配置錯(cuò)誤的確切屬性和參數(shù)。
(2)合作解決
通過所有代碼的檢測和響應(yīng),每個(gè)開發(fā)人員都可以幫助解決持續(xù)存在的問題。通過在同一工具中統(tǒng)一檢測和補(bǔ)救,可以更輕松地從一開始就將云計(jì)算安全性構(gòu)建到日常工作流程中。
(3)自動(dòng)響應(yīng)
通過以機(jī)器可讀語言識別和修復(fù)問題,可以更輕松地開發(fā)自動(dòng)化功能,以零接觸或幾乎沒有人員的接觸來查找和修復(fù)配置。自動(dòng)化是大規(guī)模構(gòu)建和維護(hù)安全云計(jì)算基礎(chǔ)設(shè)施的關(guān)鍵。
(4)不相關(guān)的發(fā)現(xiàn)
僅在構(gòu)建時(shí)檢測到的配置問題可能只代表更完整配置態(tài)勢的一部分。例如,假設(shè)一個(gè)組織在運(yùn)行時(shí)管理網(wǎng)絡(luò)組件并在構(gòu)建時(shí)計(jì)算資源,知道已加固的VPC或安全組將確保外人無法訪問它,因此可以很容易地抑制暴露在全球互聯(lián)網(wǎng)上面向EC2的標(biāo)識。
(5)缺少場景
完全依賴于構(gòu)建時(shí)的發(fā)現(xiàn)而沒有在運(yùn)行時(shí)將其歸因于實(shí)際的配置狀態(tài),可能會導(dǎo)致配置沖突。例如,嘗試加密以前未加密的數(shù)據(jù)庫實(shí)例可能無法進(jìn)行更改,因?yàn)榇蠖鄶?shù)托管數(shù)據(jù)庫服務(wù)事后不允許進(jìn)行加密。
(6)部分覆蓋
盡管不斷增長,但作為代碼框架的基礎(chǔ)設(shè)施卻無法支持所有公共可用的云計(jì)算服務(wù)。當(dāng)圍繞它開發(fā)錯(cuò)誤配置檢測策略時(shí),對構(gòu)建的有限支持也會轉(zhuǎn)化為局限性。
兩全其美的做法
隨著云計(jì)算服務(wù)和配置框架比以往任何時(shí)候都多,面臨的安全挑戰(zhàn)要求在整個(gè)運(yùn)營和開發(fā)生命周期中采用統(tǒng)一的方法來管理云計(jì)算安全。
這就是行業(yè)專家認(rèn)為在云計(jì)算基礎(chǔ)設(shè)施在構(gòu)建時(shí)和運(yùn)行時(shí)進(jìn)行掃描不是一種競爭策略而是一種完善策略的原因。
運(yùn)行時(shí)掃描可提供當(dāng)前配置狀態(tài)近乎實(shí)時(shí)的準(zhǔn)確描述,但只有添加了構(gòu)建時(shí)的掃描之后,團(tuán)隊(duì)才能響應(yīng)并修復(fù)錯(cuò)誤。

當(dāng)前文章:在運(yùn)行時(shí)與構(gòu)建時(shí)如何保護(hù)云計(jì)算基礎(chǔ)設(shè)施
URL分享:http://jinyejixie.com/article34/chsjpe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供品牌網(wǎng)站建設(shè)、網(wǎng)站策劃、面包屑導(dǎo)航、商城網(wǎng)站、搜索引擎優(yōu)化、Google

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)

成都做網(wǎng)站
永和县| 肇源县| 沙湾县| 太谷县| 平远县| 婺源县| 贵德县| 定结县| 辉县市| 巨鹿县| 冕宁县| 巩义市| 正宁县| 宝兴县| 宜丰县| 丰宁| 洱源县| 虞城县| 宁河县| 绵竹市| 乌恰县| 浦东新区| 柯坪县| 法库县| 安义县| 阳谷县| 九龙县| 南投县| 满洲里市| 汕尾市| 东明县| 桐柏县| 河池市| 凤冈县| 桓台县| 武隆县| 大姚县| 沈丘县| 镇江市| 和林格尔县| 神池县|