如何在AWS中落实安全运维管理

日期:2015-3-12作者:George Lawton

【TechTarget中国原创】开发者通常将安全性放在软件开发过程中次要的角色。SecOps不断的进行威胁测试和监控,使安全变为首要任务。

安全在传统上总是被当成软件开发过程中“事后再想”的部分。但人人闻之色变Heartbleed漏洞及其相关的补丁困难使安全性被推到了最前线。而一个使用安全运维管理,或SecOps的安全软件开发周期方式将可以加强AWS应用的安全性。

SecOps方法就有如DevOps原则一样,促进了开发者和运营之间更好的沟通,只是对应的是安全方面,Todd Vernon,一家DevOps工具供应商VictorOps的CEO说道。DevOps允许IT团队能够在部署云应用至生产前快速做出改动。但这也产生了显著的安全问题。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

George Lawton
George Lawton

TechTarget中国特约作者

云测试与开发>更多

  • 2017云计算前景:是你主导它,还是被它主导?

    云计算不再是一个新想法。但它仍然在大幅发展着。本文介绍了一些未来趋势,这些趋势可能会主导企业在2017年对待云计算的方式。

  • 华为软件开发云:解读一站式开发的含义

    我们可以看到,软件已经无处不在,我们每天的工作、学习、生活几乎都离不开软件。我们每个人的智能手机里,也安装大量的应用软件,随着互联网技术、人工智能、大数据、云计算的发展,人类正在步入智能社会。

  • AWS MEAN堆栈+JavaScript=快速搭建应用

    开发人员在构建Web应用时有许多选择。市面上有无数的框架和语言可选,而像AWS这样的云平台可以方便地部署和扩展应用程序。

  • 实时应用开发让延迟最小化

    随着微服务的出现,构建云应用的最常见方法包括拆分每个组件,使其在单独的环境中运行。这种方法从维护,可扩展性和开发的角度来看是理想的,但却会降低单个事务的处理速度。

相关推荐

  • 克服云安全挑战:专家五个提示

    云计算给业界带来了许多的利好——包括可扩展性、弹性以及成本降低,但是有部分企业仍然对放弃内部部署系统而使用公共云持谨慎态度。

  • 确保AWS安全:避免犯常见错误

    如果想要确保AWS的安全性,那么第一步就是要知道应避免犯哪些错误。所以,如果想要迈出正确的一步,那么就应从常见的AWS安全性失误前车之鉴中学得一二。

  • 微软Azure新增企业安全功能

    已改良的微软Azure安全性为其在云计算市场上提供了竞争优势。以下是企业用户可以充分使用的安全性功能。

  • 如何为云计算安全制定一个业务战略?

    为云计算实施设计一个端到端的安全措施可从制定一个安全的战略计划入手。这个战略计划的结果就是形成在财务上和法务上保护组织所需的行政和管理控制措施。

技术手册>更多

  • 混合云管理实战技术手册

    虽然有关云计算的探讨大部分是关于隐私、成本和安全问题,但是很多IT专家认为混合云模式给出了云计算的优势和风险之间的最佳平衡点。近期的TechTarget Cloud Pulse调查中我们发现39%的企业使用云计算,但是部署的是混合云,相比较而言,目前有22%的企业部署私有云,40%使用公有云。但是现在很多企业还是处于一种迷糊状态,如何才能实现更好的混合云部署,如何能够管理混合云?在这本技术手册中很多业界的专家针对混合云给出了一些建议,供参考。

  • 云计算和大数据实践手册

    调查显示,大数据已经走入组织内部,正在改变开发人员的工作方式。实际上,Gartner的一项调查表明,超过70%的组织计划在2016年对大数据进行投资。

  • Windows Azure应用开发实践指南

    在2012年闰年宕机和可能更名的混乱电子邮件之后,很多人认为微软就是不可靠。但是微软采取了很多磕磕绊绊的动作,颠覆了Windows Azure,微软在公有云计算平台上充满野性的成功,随着其和Windows Server 2012实现无缝绑定,其战略重要性逐渐凸显,Azure有望处理变化不定的计算负荷。在2013年的云计算大会上,微软宣布Windows Azure公众预览版正式开放注册,这意味着微软已经成为在中国市场中唯一一家能够提供企业内部部署和混合云服务的厂商。在这本技术手册中,我们将介绍Windows Azure的最新升级和价格情况,以及Windows Azure一些主要功能的应用实践案例,最后我们会关注Windows Azure的整体市场情况。

  • 企业备战云迁移指导手册

    向云迁移已经是企业势在必行的工作,但云迁移并非那么简单,面临着一系列的安全、风险问题,企业需要做好成全准备,方能水到渠成。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心
【TechTarget中国原创】安全在传统上总是被当成软件开发过程中“事后再想”的部分。但人人闻之色变Heartbleed漏洞及其相关的补丁困难使安全性被推到了最前线。而一个使用安全运维管理,或SecOps的安全软件开发周期方式将可以加强AWS应用的安全性。

SecOps方法就有如DevOps原则一样,促进了开发者和运营之间更好的沟通,只是对应的是安全方面,Todd Vernon,一家DevOps工具供应商VictorOps的CEO说道。DevOps允许IT团队能够在部署云应用至生产前快速做出改动。但这也产生了显著的安全问题。

“过去,你可能三不五时会进行一次安全审计。但现在这能有什么用?”Vernon问道。安全运营管理即是不断的开发,测试和监测系统中威胁的过程。它也提供了对于DevOps的相互制衡。

将安全融于设计之中


“将安全性从一开头就放在设计里很关键,”David Eads,安全咨询公司Mobile Strategy Partners的CEO说道。“如果安全只是事后再想的问题,那真正的安全是没希望了。”对于基于云的环境来说更是放大了这种情形,他补充道。

在云里,新的漏洞可以很快补上。云配置脚本可以确保修复会快速的散播到所有其他受影响的环境,这样漏洞不会再度发生。云也使得寻找类似问题,修复相关脚本,和可能与此相关但是不同问题的安全环境变成可能。

“IT人员在传统环境下不可能做到这样的事,”Eads说道。如果某个组织有着反应式的软件开发文化,那它多半会先遭受近乎灾难的结果,然后才能严肃的考虑安全性的问题,而这些有时候已经太迟了。

“Code Spaces就是个很好的例子,”Sirish Raghuram,私有云基础架构供应商Platform9的CEO说道。“他们在他们的Amazon(Web服务)帐号中漏掉某些非常基本的安全防范措施,而他们再也没得到过第二次机会。你需要在组织里有某个有影响力的人,这人必须毫不迟疑的坚持改革,而不是等到一切都太迟了。”

未雨绸缪


那些在他们的开发过程中细密的罗织安全编程习惯的组织,多半对于安全性有着比较正确的观点,Zulfikar Ramzan,基于云SecOps供应商Elastica的CTO说道。虽然事后的安全测试是有价值的,但它永远无法揭露出底层真正的问题。

比如说,Heartbleed bug的严重性非常惊人。但是,多年来大家却对它视而不见。这个挑战部分存在于各种开发过程是依靠一个相当复杂的拼凑起来的东西来互相连接的。其中一个如果改动,就算这个改动看似无害,却可以在下游过程中造成大灾难。此外,顾客会要求云服务提供安全编程习惯的证明,Ramzan说道。那些企业们将处理他们数据的大任托付给厂商,自然必须加大保证的力度来确保该厂商正在以合理,安全和理智的方式来达成这件事。2014年的网络供应链管理和透明度法案强制要求所有的云服务供应商,例如AWS,将已知的漏洞对政府客户公布。

改善安全工程


一开始就将设计中的漏洞处理好是不可或缺的。在这些安全问题还在代码阶段的时候就处理掉对于预防跨站式脚本攻击、SQL注入和其他已知漏洞是更有效的,Mark Patton,一家反恶意软件供应商Malwarebytes的工程副总裁说道。而了解对于基于云系统对比本地系统的最佳实践常常是个挑战。

那些采用设计后安全编程实践的组织应该遵循以下的建议来更好保证你们的环境不会产生漏洞:


一个成功且安全的组织会为团队提供围绕安全性,以及功能和进度的激励。企业应该将安全性包括在成功的定义中作为第一要素,并且从第一天起就被当作每个人的任务。

认清战术上的障碍 确保安全开发


过渡到安全的开发生命周期绝不简单。根据以安全为基础的安全供应商Veracode的说法,公司要创建一个具有安全意识的企业文化,必须克服一些战术上的障碍。


规划安全架构


组织需要将安全架构、设计审查、代码审查和安全测试、同漏洞管理和环境硬化结合起来,Sachin Agarwal,SOA Software的产品市场和战略副总裁说。市场上有几种工具可以加强敏捷性管理来确保在设计、开发和应用服务运维过程中的最佳实践。

单单只依赖工具是不够的,工具可以给予IT团队一种错误的安全感,Patton说。一致的定期的使用工具分析和审核代码是安全编程的重要部分。但是使用类似AWS,VPC这样的工具和AWS安全组对于那些利用了应用程序正常工作而必须打开的端口的漏洞是没有效果的。Patton补充道。程序员还必须要记住他们编写的软件是运行在客户的机器上,可以被直接攻击。