为什么要将持续的云安全性作为开发人员之旅的一部分

互联网2020-08-28 08:05:14
导读云计算并不总是安全性的代名词。然而,尽管早期担心它不如数据中心安全,但云现在被认为是大多数关键业务功能的有用且安全的解决方案。虽

云计算并不总是安全性的代名词。然而,尽管早期担心它不如数据中心安全,但云现在被认为是大多数关键业务功能的有用且安全的解决方案。虽然它的一些最早的采用者可能对安全性有些不屑一顾,但情况已不再如此。最新一代的云计算进入者主要在金融和政府部门运营,这意味着安全性和合规性是其议程的首要任务。

近年来影响消费者的一系列重大数据泄露也加速了对云安全的重视。安全性也比以往任何时候都更加受到法律的关注,特别是在欧洲引入GDPR之后,对企业采取严格的监管措施,要么遵守要么直接面临后果。

但是,虽然企业的开发和运营部门已经基本上接受了云的动态世界,但对于安全团队来说,它提出了一系列全新的挑战。他们不再使用他们可以像以前那样仔细评估和管理的受控环境。相反,由于云平台和应用程序代码紧密集成,开发团队现在必须将安全需求纳入其代码本身,以在平台中实施。

由于云平台通常每天都在变化,因此错误配置的潜在风险非常大。根据Gartner的分析,到2020年,80%的云漏洞将归因于客户配置错误,凭据管理不善或内部盗窃 - 而不是云提供商漏洞。

现在存在可以帮助安全团队应对这些挑战的解决方案。这些解决方案允许他们针对云环境定义他们的策略(PCI-DSS,CIS,NIST,HIPAA),然后以简洁的方式将它们呈现给开发团队。

减少维护安全策略所产生的不必要开销可以极大地帮助组织。它降低了误解的风险,缩小了人为错误的余地,并允许开发团队在安全团队建立的护栏内安全地工作。这意味着他们不需要经常需要了解云平台的最新变化以及它们与书面安全策略的对应关系。他们没有安全角色,可以在不涉及政策页面的情况下进行编码。

在我的组织中,我们面临着这一挑战。我们发现用于多云环境的现有工具很差,并且缺乏任何补救措施。为了解决这些差距,我们创建了一个名为Cloud Security Guardian(CSG)的解决方案,现在,我们的工作流遵循明确定义的模式:

部署:建立新的Azure订阅或AWS账户

权限:创建IAM控件并将其提供给安全团队,以允许他们配置CSG以检查新环境

定义:安全团队可以创建或应用他们需要云解决方案来满足的合规性策略。随着环境的扩展或合规性要求的发展,这可以很容易地改变

构建:开发团队现在可以开始将云部署部署到环境中。对于这些初始的,开发人员可以专注于功能,因为这将实时评估。

消耗:通过API查询CSG,并找出新部署无法与安全策略匹配的确切位置。如果部署完全匹配,那么您现在可以使用报告来证明它。

补救:如果至少有一件事需要补救,可以通过另一个快速通话解决违规问题。然后可以将更正的模板拉回到repo中,或者API可以提供JSON以独立集成。(喜欢GUI的人可以查看警报并从GUI进行修复)

报告:随着项目的进展,报告可以与利益相关者共享。这些在执行风险分析时可以证明是非常宝贵的,并且有助于sprint计划,因为它们显示了应该关注哪些领域

对于开发人员,此过程在整个集成周期中提供信息。它可以指出烟雾中的风险,在UAT中进行快速补救,或提供分期验证。一旦投入生产,就可以将其移交给运营团队,以监控手动更改或配置偏差。

当然,安全团队也可以使用此工具。它使他们能够立即了解所有云环境的安全性,并密切关注短期环境,以评估他们可能已经呈现的风险。一旦安全团队可以查看系统的整个基础架构,他们就可以轻松查看其组件如何互连并识别其弱点。

在执行公司范围内的安全实践审核时,它允许安全团队在任何给定的时间点快速报告合规状态。它还为他们提供了完整的审计跟踪。可以实时监控对系统所做的每一次更改,并且只要出现不合规情况,就可以将警报发送给Slack,Sumo Logic或电子邮件。

使持续安全成为云生命周期的一部分可以使公司的安全和开发团队以同等比例受益。它允许他们运行云环境并使用最适合每个团队的方法作为一个加入实体来管理其合规性要求。

免责声明:本文由用户上传,如有侵权请联系删除!