2022-10-09 分類: 網(wǎng)站建設(shè)
查如果你的日常工作是開發(fā)者、系統(tǒng)管理員、全棧工程師或者是網(wǎng)站可靠性工程師(SRE),工作內(nèi)容包括使用 Git 從 GitHub 上推送、提交和拉取,并部署到亞馬遜 Web 服務(wù)上(AWS),安全性就是一個(gè)需要持續(xù)考慮的一個(gè)點(diǎn)。幸運(yùn)的是,開源工具能幫助你的團(tuán)隊(duì)避免犯常見錯(cuò)誤,這些常見錯(cuò)誤會(huì)導(dǎo)致你的組織損失數(shù)千美元。
本文介紹了四種開源工具,當(dāng)你在 GitHub 和 AWS 上進(jìn)行開發(fā)時(shí),這些工具能幫助你提升項(xiàng)目的安全性。同樣的,本著開源的精神,我會(huì)與三位安全專家——Travis McPeak,奈飛高級(jí)云安全工程師;Rich Monk,紅帽首席高級(jí)信息安全分析師;以及Alison Naylor,紅帽首席信息安全分析師——共同為本文做出貢獻(xiàn)。
我們已經(jīng)按場(chǎng)景對(duì)每個(gè)工具都做了區(qū)分,但是它們并不是相互排斥的。
1、使用 gitrob 發(fā)現(xiàn)敏感數(shù)據(jù)
你需要發(fā)現(xiàn)任何出現(xiàn)于你們團(tuán)隊(duì)的 Git 倉(cāng)庫(kù)中的敏感信息,以便你能將其刪除。借助專注于攻擊應(yīng)用程序或者操作系統(tǒng)的工具以使用紅/藍(lán)隊(duì)模型,這樣可能會(huì)更有意義,在這個(gè)模型中,一個(gè)信息安全團(tuán)隊(duì)會(huì)劃分為兩塊,一個(gè)是攻擊團(tuán)隊(duì)(又名紅隊(duì)),以及一個(gè)防守團(tuán)隊(duì)(又名藍(lán)隊(duì))。有一個(gè)紅隊(duì)來(lái)嘗試滲透你的系統(tǒng)和應(yīng)用要遠(yuǎn)遠(yuǎn)好于等待一個(gè)攻擊者來(lái)實(shí)際攻擊你。你的紅隊(duì)可能會(huì)嘗試使用Gitrob,該工具可以克隆和爬取你的 Git 倉(cāng)庫(kù),以此來(lái)尋找憑證和敏感信息。
即使像 Gitrob 這樣的工具可以被用來(lái)造成破壞,但這里的目的是讓你的信息安全團(tuán)隊(duì)使用它來(lái)發(fā)現(xiàn)無(wú)意間泄露的屬于你的組織的敏感信息(比如 AWS 的密鑰對(duì)或者是其他被失誤提交上去的憑證)。這樣,你可以修整你的倉(cāng)庫(kù)并清除敏感數(shù)據(jù)——希望能趕在攻擊者發(fā)現(xiàn)它們之前。記住不光要修改受影響的文件,還要?jiǎng)h除它們的歷史記錄。
2、使用 git-secrets 來(lái)避免合并敏感數(shù)據(jù)
雖然在你的 Git 倉(cāng)庫(kù)里發(fā)現(xiàn)并移除敏感信息很重要,但在一開始就避免合并這些敏感信息豈不是更好?即使錯(cuò)誤地提交了敏感信息,使用git-secrets可以避免你陷入公開的困境。這款工具可以幫助你設(shè)置鉤子,以此來(lái)掃描你的提交、提交信息和合并信息,尋找常見的敏感信息模式。注意你選擇的模式要匹配你的團(tuán)隊(duì)使用的憑證,比如 AWS 訪問(wèn)密鑰和秘密密鑰。如果發(fā)現(xiàn)了一個(gè)匹配項(xiàng),你的提交就會(huì)被拒絕,一個(gè)潛在的危機(jī)就此得到避免。
為你已有的倉(cāng)庫(kù)設(shè)置 git-secrets 是很簡(jiǎn)單的,而且你可以使用一個(gè)全局設(shè)置來(lái)保護(hù)所有你以后要?jiǎng)?chuàng)建或克隆的倉(cāng)庫(kù)。你同樣可以在公開你的倉(cāng)庫(kù)之前,使用 git-secrets 來(lái)掃描它們(包括之前所有的歷史版本)。
3、使用 Key Conjurer 創(chuàng)建臨時(shí)憑證
有一點(diǎn)額外的保險(xiǎn)來(lái)防止無(wú)意間公開了存儲(chǔ)的敏感信息,這是很好的事,但我們還可以做得更好,就完全不存儲(chǔ)任何憑證。追蹤憑證,誰(shuí)訪問(wèn)了它,存儲(chǔ)到了哪里,上次更新是什么時(shí)候——太麻煩了。然而,以編程的方式生成的臨時(shí)憑證就可以避免大量的此類問(wèn)題,從而巧妙地避開了在 Git 倉(cāng)庫(kù)里存儲(chǔ)敏感信息這一問(wèn)題。使用Key Conjurer,它就是為解決這一需求而被創(chuàng)建出來(lái)的。有關(guān)更多 Riot Games 為什么創(chuàng)建 Key Conjurer,以及 Riot Games 如何開發(fā)的 Key Conjurer,請(qǐng)閱讀Key Conjurer:我們最低權(quán)限的策略。
4、使用 Repokid 自動(dòng)化地提供最小權(quán)限
任何一個(gè)參加過(guò)基本安全課程的人都知道,設(shè)置最小權(quán)限是基于角色的訪問(wèn)控制的實(shí)現(xiàn)。難過(guò)的是,離開校門,會(huì)發(fā)現(xiàn)手動(dòng)運(yùn)用最低權(quán)限策略會(huì)變得如此艱難。一個(gè)應(yīng)用的訪問(wèn)需求會(huì)隨著時(shí)間的流逝而變化,開發(fā)人員又太忙了沒(méi)時(shí)間去手動(dòng)削減他們的權(quán)限。Repokid使用 AWS 提供提供的有關(guān)身份和訪問(wèn)管理(IAM)的數(shù)據(jù)來(lái)自動(dòng)化地調(diào)整訪問(wèn)策略。Repokid 甚至可以在 AWS 中為超大型組織提供自動(dòng)化地最小權(quán)限設(shè)置。
工具而已,又不是大招
這些工具并不是什么靈丹妙藥,它們只是工具!所以,在嘗試使用這些工具或其他的控件之前,請(qǐng)和你的組織里一起工作的其他人確保你們已經(jīng)理解了你的云服務(wù)的使用情況和用法模式。
應(yīng)該嚴(yán)肅對(duì)待你的云服務(wù)和代碼倉(cāng)庫(kù)服務(wù),并熟悉實(shí)現(xiàn)的做法。
同樣重要的一點(diǎn)是,和你的安全團(tuán)隊(duì)保持聯(lián)系;他們應(yīng)該可以為你團(tuán)隊(duì)的成功提供想法、建議和指南。永遠(yuǎn)記住:安全是每個(gè)人的責(zé)任,而不僅僅是他們的。
分享題目:4種開源云安全工具
網(wǎng)頁(yè)網(wǎng)址:http://jinyejixie.com/news/204028.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供品牌網(wǎng)站設(shè)計(jì)、Google、面包屑導(dǎo)航、品牌網(wǎng)站制作、微信公眾號(hào)、定制網(wǎng)站
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容