完结小说,好看的玄幻小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案

如何在云環(huán)境中落實(shí)安全運(yùn)維管理

安全在傳統(tǒng)上總是被當(dāng)成軟件開(kāi)發(fā)過(guò)程中“事后再想”的部分。但人人聞之色變Heartbleed漏洞及其相關(guān)的補(bǔ)丁困難使安全性被推到了最前線(xiàn)。而一個(gè)使用安全運(yùn)維管理，或SecOps的安全軟件開(kāi)發(fā)周期方式將可以加強(qiáng)AWS應(yīng)用的安全性。

SecOps方法就有如DevOps原則一樣，促進(jìn)了開(kāi)發(fā)者和運(yùn)營(yíng)之間更好的溝通，只是對(duì)應(yīng)的是安全方面，Todd Vernon，一家DevOps工具供應(yīng)商VictorOps的CEO說(shuō)道。DevOps允許IT團(tuán)隊(duì)能夠在部署云應(yīng)用至生產(chǎn)前快速做出改動(dòng)。但這也產(chǎn)生了顯著的安全問(wèn)題。

“過(guò)去，你可能三不五時(shí)會(huì)進(jìn)行一次安全審計(jì)。但現(xiàn)在這能有什么用？”Vernon問(wèn)道。安全運(yùn)營(yíng)管理即是不斷的開(kāi)發(fā)，測(cè)試和監(jiān)測(cè)系統(tǒng)中威脅的過(guò)程。它也提供了對(duì)于DevOps的相互制衡。

將安全融于設(shè)計(jì)之中

“將安全性從一開(kāi)頭就放在設(shè)計(jì)里很關(guān)鍵，”David Eads，安全咨詢(xún)公司Mobile Strategy Partners的CEO說(shuō)道。“如果安全只是事后再想的問(wèn)題，那真正的安全是沒(méi)希望了?！睂?duì)于基于云的環(huán)境來(lái)說(shuō)更是放大了這種情形，他補(bǔ)充道。

在云里，新的漏洞可以很快補(bǔ)上。云配置腳本可以確保修復(fù)會(huì)快速的散播到所有其他受影響的環(huán)境，這樣漏洞不會(huì)再度發(fā)生。云也使得尋找類(lèi)似問(wèn)題，修復(fù)相關(guān)腳本，和可能與此相關(guān)但是不同問(wèn)題的安全環(huán)境變成可能。

“IT人員在傳統(tǒng)環(huán)境下不可能做到這樣的事，”Eads說(shuō)道。如果某個(gè)組織有著反應(yīng)式的軟件開(kāi)發(fā)文化，那它多半會(huì)先遭受近乎災(zāi)難的結(jié)果，然后才能?chē)?yán)肅的考慮安全性的問(wèn)題，而這些有時(shí)候已經(jīng)太遲了。

“Code Spaces就是個(gè)很好的例子，”Sirish Raghuram，私有云基礎(chǔ)架構(gòu)供應(yīng)商Platform9的CEO說(shuō)道?！八麄?cè)谒麄兊腁mazon（Web服務(wù)）帳號(hào)中漏掉某些非?；镜陌踩婪洞胧?，而他們?cè)僖矝](méi)得到過(guò)第二次機(jī)會(huì)。你需要在組織里有某個(gè)有影響力的人，這人必須毫不遲疑的堅(jiān)持改革，而不是等到一切都太遲了?！?/p>

未雨綢繆

那些在他們的開(kāi)發(fā)過(guò)程中細(xì)密的羅織安全編程習(xí)慣的組織，多半對(duì)于安全性有著比較正確的觀點(diǎn)，Zulfikar Ramzan，基于云SecOps供應(yīng)商Elastica的CTO說(shuō)道。雖然事后的安全測(cè)試是有價(jià)值的，但它永遠(yuǎn)無(wú)法揭露出底層真正的問(wèn)題。

比如說(shuō)，Heartbleed bug的嚴(yán)重性非常驚人。但是，多年來(lái)大家卻對(duì)它視而不見(jiàn)。這個(gè)挑戰(zhàn)部分存在于各種開(kāi)發(fā)過(guò)程是依靠一個(gè)相當(dāng)復(fù)雜的拼湊起來(lái)的東西來(lái)互相連接的。其中一個(gè)如果改動(dòng)，就算這個(gè)改動(dòng)看似無(wú)害，卻可以在下游過(guò)程中造成大災(zāi)難。此外，顧客會(huì)要求云服務(wù)提供安全編程習(xí)慣的證明，Ramzan說(shuō)道。那些企業(yè)們將處理他們數(shù)據(jù)的大任托付給廠(chǎng)商，自然必須加大保證的力度來(lái)確保該廠(chǎng)商正在以合理，安全和理智的方式來(lái)達(dá)成這件事。2014年的網(wǎng)絡(luò)供應(yīng)鏈管理和透明度法案強(qiáng)制要求所有的云服務(wù)供應(yīng)商，例如AWS，將已知的漏洞對(duì)政府客戶(hù)公布。

改善安全工程

一開(kāi)始就將設(shè)計(jì)中的漏洞處理好是不可或缺的。在這些安全問(wèn)題還在代碼階段的時(shí)候就處理掉對(duì)于預(yù)防跨站式腳本攻擊、SQL注入和其他已知漏洞是更有效的，Mark Patton，一家反惡意軟件供應(yīng)商Malwarebytes的工程副總裁說(shuō)道。而了解對(duì)于基于云系統(tǒng)對(duì)比本地系統(tǒng)的最佳實(shí)踐常常是個(gè)挑戰(zhàn)。

那些采用設(shè)計(jì)后安全編程實(shí)踐的組織應(yīng)該遵循以下的建議來(lái)更好保證你們的環(huán)境不會(huì)產(chǎn)生漏洞：

考慮API表面的安全性就跟保護(hù)網(wǎng)頁(yè)一樣重要
查看云平臺(tái)安全性、AWS虛擬私有云布局和使用AWS安全組
討論認(rèn)證的技術(shù)（用戶(hù)名和密碼、令牌、雙重認(rèn)證等等）
不要將密碼憑證嵌入代碼，這會(huì)將它們泄漏給用戶(hù)
使用基于角色的“需要知道”或“需要訪(fǎng)問(wèn)”來(lái)架構(gòu)云資源的訪(fǎng)問(wèn)

一個(gè)成功且安全的組織會(huì)為團(tuán)隊(duì)提供圍繞安全性，以及功能和進(jìn)度的激勵(lì)。企業(yè)應(yīng)該將安全性包括在成功的定義中作為第一要素，并且從第一天起就被當(dāng)作每個(gè)人的任務(wù)。

認(rèn)清戰(zhàn)術(shù)上的障礙確保安全開(kāi)發(fā)

過(guò)渡到安全的開(kāi)發(fā)生命周期絕不簡(jiǎn)單。根據(jù)以安全為基礎(chǔ)的安全供應(yīng)商Veracode的說(shuō)法，公司要?jiǎng)?chuàng)建一個(gè)具有安全意識(shí)的企業(yè)文化，必須克服一些戰(zhàn)術(shù)上的障礙。

創(chuàng)建擴(kuò)展的測(cè)試方法。隨著組織向敏捷化的遷移和持續(xù)部署，他們需要自動(dòng)化的可以和已有流程整合的測(cè)試方法。

提供對(duì)開(kāi)發(fā)人員有用的結(jié)果。一個(gè)手動(dòng)測(cè)試（和某些自動(dòng)化測(cè)試的結(jié)果）的缺點(diǎn)是很難給出有用的信息可以讓開(kāi)發(fā)人員解決問(wèn)題。代碼行數(shù)的報(bào)告比起不包括到底哪里出錯(cuò)的診斷信息的漏洞類(lèi)型報(bào)告更有用。

雇傭足夠的人才。要將安全貫徹到軟件開(kāi)發(fā)中并且在過(guò)程中帶動(dòng)開(kāi)發(fā)人員一起需要專(zhuān)業(yè)的技能。對(duì)大多數(shù)組織來(lái)說(shuō)，市場(chǎng)上沒(méi)有足夠的擁有正確技能的人來(lái)讓一個(gè)程序規(guī)?；倪\(yùn)行。

網(wǎng)站欄目：如何在云環(huán)境中落實(shí)安全運(yùn)維管理
文章網(wǎng)址：http://m.fisionsoft.com.cn/article/djhpegi.html

新聞中心

其他資訊