如何在AWS中落实安全运维管理

日期:2015-3-12作者:George Lawton

【TechTarget中国原创】开发者通常将安全性放在软件开发过程中次要的角色。SecOps不断的进行威胁测试和监控,使安全变为首要任务。

安全在传统上总是被当成软件开发过程中“事后再想”的部分。但人人闻之色变Heartbleed漏洞及其相关的补丁困难使安全性被推到了最前线。而一个使用安全运维管理,或SecOps的安全软件开发周期方式将可以加强AWS应用的安全性。

SecOps方法就有如DevOps原则一样,促进了开发者和运营之间更好的沟通,只是对应的是安全方面,Todd Vernon,一家DevOps工具供应商VictorOps的CEO说道。DevOps允许IT团队能够在部署云应用至生产前快速做出改动。但这也产生了显著的安全问题。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

George Lawton
George Lawton

TechTarget中国特约作者

云测试与开发>更多

  • 云API,让应用程序“动”起来!

    随着云应用的增长,越来越多的企业尝试同时使用多个供应商。弥补服务中断的需求,使用不同服务的需求,以及基于费用选择服务的能力,都强调了对数据和应用程序可移植性的需求。

  • 容器即服务不可不知的事

    受益于容器即服务,或称为CaaS方案的大规模涌现——它们和编排、镜像存储库以及更多内建的东西直接竞争,这导致安装以及管理Docker环境,现在已经很容易了。

  • 2017云计算前景:是你主导它,还是被它主导?

    云计算不再是一个新想法。但它仍然在大幅发展着。本文介绍了一些未来趋势,这些趋势可能会主导企业在2017年对待云计算的方式。

  • 华为软件开发云:解读一站式开发的含义

    我们可以看到,软件已经无处不在,我们每天的工作、学习、生活几乎都离不开软件。我们每个人的智能手机里,也安装大量的应用软件,随着互联网技术、人工智能、大数据、云计算的发展,人类正在步入智能社会。

相关推荐

  • 克服云安全挑战:专家五个提示

    云计算给业界带来了许多的利好——包括可扩展性、弹性以及成本降低,但是有部分企业仍然对放弃内部部署系统而使用公共云持谨慎态度。

  • 确保AWS安全:避免犯常见错误

    如果想要确保AWS的安全性,那么第一步就是要知道应避免犯哪些错误。所以,如果想要迈出正确的一步,那么就应从常见的AWS安全性失误前车之鉴中学得一二。

  • 微软Azure新增企业安全功能

    已改良的微软Azure安全性为其在云计算市场上提供了竞争优势。以下是企业用户可以充分使用的安全性功能。

  • 如何为云计算安全制定一个业务战略?

    为云计算实施设计一个端到端的安全措施可从制定一个安全的战略计划入手。这个战略计划的结果就是形成在财务上和法务上保护组织所需的行政和管理控制措施。

技术手册>更多

  • 云计算标准及性能评估指南

    从应用运行的角度来讲,云计算的性能就是网络性能、应用性能以及云计算基础架构性能的总和。云供应商只能对最后一个因素负责,而不能对前两者负责。因此,用户在衡量供应商云服务质量时必须遵循一个合适的标准。本文介绍制定云计算服务标准必要性,为了满足这一标准而需要满足的配置,以及云计算服务等级(SLA)的制定和遵从问题。

  • 企业私有云架构构建指南

    由于云计算所带来的好处和虚拟化的本质局限的原因,云计算几乎吸引了所有的眼球。虚拟化主要关注其本身和虚拟机(VM),虚拟机的性能以及一旦物理服务器实现虚拟化后所能实现的功能。与之不同,私有云计算的范围更为广泛,它并不仅仅关注虚拟机本身,而且还包括托管虚拟机的整个基础设施。本文将介绍私有云的优势以及如何构建私有云架构。

  • 检阅云计算工具

    虽然市场上有着数以百计的云计算解决方案供应商,但是作为用户的我们应当如何雾里看花找到真正满足我们需求的云计算产品与供应商?对云计算供应商进行分类对于更好地了解诸如应用程序迁移、自动化与监控等关键领域的领先厂商似乎并无裨益。

  • 多云战略与管理

    一个多云战略可以让用户充分发挥每个云产品的优势来满足每一个业务需求,但是这样一个战略也会引入一定的复杂性。在一个多云模式中,很容易就会陷入失控的状态;用户一个不小心就会错失整个价值主张。但如果有了合适的预防措施,那么一个多云战略将给用户带来许多的红利。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心
【TechTarget中国原创】安全在传统上总是被当成软件开发过程中“事后再想”的部分。但人人闻之色变Heartbleed漏洞及其相关的补丁困难使安全性被推到了最前线。而一个使用安全运维管理,或SecOps的安全软件开发周期方式将可以加强AWS应用的安全性。

SecOps方法就有如DevOps原则一样,促进了开发者和运营之间更好的沟通,只是对应的是安全方面,Todd Vernon,一家DevOps工具供应商VictorOps的CEO说道。DevOps允许IT团队能够在部署云应用至生产前快速做出改动。但这也产生了显著的安全问题。

“过去,你可能三不五时会进行一次安全审计。但现在这能有什么用?”Vernon问道。安全运营管理即是不断的开发,测试和监测系统中威胁的过程。它也提供了对于DevOps的相互制衡。

将安全融于设计之中


“将安全性从一开头就放在设计里很关键,”David Eads,安全咨询公司Mobile Strategy Partners的CEO说道。“如果安全只是事后再想的问题,那真正的安全是没希望了。”对于基于云的环境来说更是放大了这种情形,他补充道。

在云里,新的漏洞可以很快补上。云配置脚本可以确保修复会快速的散播到所有其他受影响的环境,这样漏洞不会再度发生。云也使得寻找类似问题,修复相关脚本,和可能与此相关但是不同问题的安全环境变成可能。

“IT人员在传统环境下不可能做到这样的事,”Eads说道。如果某个组织有着反应式的软件开发文化,那它多半会先遭受近乎灾难的结果,然后才能严肃的考虑安全性的问题,而这些有时候已经太迟了。

“Code Spaces就是个很好的例子,”Sirish Raghuram,私有云基础架构供应商Platform9的CEO说道。“他们在他们的Amazon(Web服务)帐号中漏掉某些非常基本的安全防范措施,而他们再也没得到过第二次机会。你需要在组织里有某个有影响力的人,这人必须毫不迟疑的坚持改革,而不是等到一切都太迟了。”

未雨绸缪


那些在他们的开发过程中细密的罗织安全编程习惯的组织,多半对于安全性有着比较正确的观点,Zulfikar Ramzan,基于云SecOps供应商Elastica的CTO说道。虽然事后的安全测试是有价值的,但它永远无法揭露出底层真正的问题。

比如说,Heartbleed bug的严重性非常惊人。但是,多年来大家却对它视而不见。这个挑战部分存在于各种开发过程是依靠一个相当复杂的拼凑起来的东西来互相连接的。其中一个如果改动,就算这个改动看似无害,却可以在下游过程中造成大灾难。此外,顾客会要求云服务提供安全编程习惯的证明,Ramzan说道。那些企业们将处理他们数据的大任托付给厂商,自然必须加大保证的力度来确保该厂商正在以合理,安全和理智的方式来达成这件事。2014年的网络供应链管理和透明度法案强制要求所有的云服务供应商,例如AWS,将已知的漏洞对政府客户公布。

改善安全工程


一开始就将设计中的漏洞处理好是不可或缺的。在这些安全问题还在代码阶段的时候就处理掉对于预防跨站式脚本攻击、SQL注入和其他已知漏洞是更有效的,Mark Patton,一家反恶意软件供应商Malwarebytes的工程副总裁说道。而了解对于基于云系统对比本地系统的最佳实践常常是个挑战。

那些采用设计后安全编程实践的组织应该遵循以下的建议来更好保证你们的环境不会产生漏洞:


一个成功且安全的组织会为团队提供围绕安全性,以及功能和进度的激励。企业应该将安全性包括在成功的定义中作为第一要素,并且从第一天起就被当作每个人的任务。

认清战术上的障碍 确保安全开发


过渡到安全的开发生命周期绝不简单。根据以安全为基础的安全供应商Veracode的说法,公司要创建一个具有安全意识的企业文化,必须克服一些战术上的障碍。


规划安全架构


组织需要将安全架构、设计审查、代码审查和安全测试、同漏洞管理和环境硬化结合起来,Sachin Agarwal,SOA Software的产品市场和战略副总裁说。市场上有几种工具可以加强敏捷性管理来确保在设计、开发和应用服务运维过程中的最佳实践。

单单只依赖工具是不够的,工具可以给予IT团队一种错误的安全感,Patton说。一致的定期的使用工具分析和审核代码是安全编程的重要部分。但是使用类似AWS,VPC这样的工具和AWS安全组对于那些利用了应用程序正常工作而必须打开的端口的漏洞是没有效果的。Patton补充道。程序员还必须要记住他们编写的软件是运行在客户的机器上,可以被直接攻击。