如何在AWS中落实安全运维管理

日期:2015-3-12作者:George Lawton

【TechTarget中国原创】开发者通常将安全性放在软件开发过程中次要的角色。SecOps不断的进行威胁测试和监控,使安全变为首要任务。

安全在传统上总是被当成软件开发过程中“事后再想”的部分。但人人闻之色变Heartbleed漏洞及其相关的补丁困难使安全性被推到了最前线。而一个使用安全运维管理,或SecOps的安全软件开发周期方式将可以加强AWS应用的安全性。

SecOps方法就有如DevOps原则一样,促进了开发者和运营之间更好的沟通,只是对应的是安全方面,Todd Vernon,一家DevOps工具供应商VictorOps的CEO说道。DevOps允许IT团队能够在部署云应用至生产前快速做出改动。但这也产生了显著的安全问题。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

George Lawton
George Lawton

TechTarget中国特约作者

云测试与开发>更多

相关推荐

  • 看“风水反转”技术如何危害云安全

    在安全领域中的相关专业人员都应该知道的是,当后果和影响足够严重时, 比较有利的一种做法就是将当前环境保持在趋势模型中相对不会发生的场景中。

  • 克服云安全挑战:专家五个提示

    云计算给业界带来了许多的利好——包括可扩展性、弹性以及成本降低,但是有部分企业仍然对放弃内部部署系统而使用公共云持谨慎态度。

  • 确保AWS安全:避免犯常见错误

    如果想要确保AWS的安全性,那么第一步就是要知道应避免犯哪些错误。所以,如果想要迈出正确的一步,那么就应从常见的AWS安全性失误前车之鉴中学得一二。

  • 微软Azure新增企业安全功能

    已改良的微软Azure安全性为其在云计算市场上提供了竞争优势。以下是企业用户可以充分使用的安全性功能。

技术手册>更多

  • 平台即服务(PaaS)实操指南

    市场上为开发者提供了各种PaaS。虽然看起来PaaS厂商都极为相似,但是却也存在诸多不同。要跟上市场的变化,在选择PaaS平台时,有一些关键性能需要注意。在这本技术指南中我们将重点介绍平台即服务的市场现状以及如何将遗留开发转移到PaaS之上,同时我们会给出最新的私有PaaS概念和产品选择指导。

  • 云计算标准及性能评估指南

    从应用运行的角度来讲,云计算的性能就是网络性能、应用性能以及云计算基础架构性能的总和。云供应商只能对最后一个因素负责,而不能对前两者负责。因此,用户在衡量供应商云服务质量时必须遵循一个合适的标准。本文介绍制定云计算服务标准必要性,为了满足这一标准而需要满足的配置,以及云计算服务等级(SLA)的制定和遵从问题。

  • 云存储最佳实践

    云存储可帮助用户在能访问互联网的任何地方,恢复任一个时间点的数据。本手册将介绍云存储的发展状况与云存储的最佳实践与技巧。

  • 云计算和大数据实践手册

    调查显示,大数据已经走入组织内部,正在改变开发人员的工作方式。实际上,Gartner的一项调查表明,超过70%的组织计划在2016年对大数据进行投资。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心
【TechTarget中国原创】安全在传统上总是被当成软件开发过程中“事后再想”的部分。但人人闻之色变Heartbleed漏洞及其相关的补丁困难使安全性被推到了最前线。而一个使用安全运维管理,或SecOps的安全软件开发周期方式将可以加强AWS应用的安全性。

SecOps方法就有如DevOps原则一样,促进了开发者和运营之间更好的沟通,只是对应的是安全方面,Todd Vernon,一家DevOps工具供应商VictorOps的CEO说道。DevOps允许IT团队能够在部署云应用至生产前快速做出改动。但这也产生了显著的安全问题。

“过去,你可能三不五时会进行一次安全审计。但现在这能有什么用?”Vernon问道。安全运营管理即是不断的开发,测试和监测系统中威胁的过程。它也提供了对于DevOps的相互制衡。

将安全融于设计之中


“将安全性从一开头就放在设计里很关键,”David Eads,安全咨询公司Mobile Strategy Partners的CEO说道。“如果安全只是事后再想的问题,那真正的安全是没希望了。”对于基于云的环境来说更是放大了这种情形,他补充道。

在云里,新的漏洞可以很快补上。云配置脚本可以确保修复会快速的散播到所有其他受影响的环境,这样漏洞不会再度发生。云也使得寻找类似问题,修复相关脚本,和可能与此相关但是不同问题的安全环境变成可能。

“IT人员在传统环境下不可能做到这样的事,”Eads说道。如果某个组织有着反应式的软件开发文化,那它多半会先遭受近乎灾难的结果,然后才能严肃的考虑安全性的问题,而这些有时候已经太迟了。

“Code Spaces就是个很好的例子,”Sirish Raghuram,私有云基础架构供应商Platform9的CEO说道。“他们在他们的Amazon(Web服务)帐号中漏掉某些非常基本的安全防范措施,而他们再也没得到过第二次机会。你需要在组织里有某个有影响力的人,这人必须毫不迟疑的坚持改革,而不是等到一切都太迟了。”

未雨绸缪


那些在他们的开发过程中细密的罗织安全编程习惯的组织,多半对于安全性有着比较正确的观点,Zulfikar Ramzan,基于云SecOps供应商Elastica的CTO说道。虽然事后的安全测试是有价值的,但它永远无法揭露出底层真正的问题。

比如说,Heartbleed bug的严重性非常惊人。但是,多年来大家却对它视而不见。这个挑战部分存在于各种开发过程是依靠一个相当复杂的拼凑起来的东西来互相连接的。其中一个如果改动,就算这个改动看似无害,却可以在下游过程中造成大灾难。此外,顾客会要求云服务提供安全编程习惯的证明,Ramzan说道。那些企业们将处理他们数据的大任托付给厂商,自然必须加大保证的力度来确保该厂商正在以合理,安全和理智的方式来达成这件事。2014年的网络供应链管理和透明度法案强制要求所有的云服务供应商,例如AWS,将已知的漏洞对政府客户公布。

改善安全工程


一开始就将设计中的漏洞处理好是不可或缺的。在这些安全问题还在代码阶段的时候就处理掉对于预防跨站式脚本攻击、SQL注入和其他已知漏洞是更有效的,Mark Patton,一家反恶意软件供应商Malwarebytes的工程副总裁说道。而了解对于基于云系统对比本地系统的最佳实践常常是个挑战。

那些采用设计后安全编程实践的组织应该遵循以下的建议来更好保证你们的环境不会产生漏洞:


一个成功且安全的组织会为团队提供围绕安全性,以及功能和进度的激励。企业应该将安全性包括在成功的定义中作为第一要素,并且从第一天起就被当作每个人的任务。

认清战术上的障碍 确保安全开发


过渡到安全的开发生命周期绝不简单。根据以安全为基础的安全供应商Veracode的说法,公司要创建一个具有安全意识的企业文化,必须克服一些战术上的障碍。


规划安全架构


组织需要将安全架构、设计审查、代码审查和安全测试、同漏洞管理和环境硬化结合起来,Sachin Agarwal,SOA Software的产品市场和战略副总裁说。市场上有几种工具可以加强敏捷性管理来确保在设计、开发和应用服务运维过程中的最佳实践。

单单只依赖工具是不够的,工具可以给予IT团队一种错误的安全感,Patton说。一致的定期的使用工具分析和审核代码是安全编程的重要部分。但是使用类似AWS,VPC这样的工具和AWS安全组对于那些利用了应用程序正常工作而必须打开的端口的漏洞是没有效果的。Patton补充道。程序员还必须要记住他们编写的软件是运行在客户的机器上,可以被直接攻击。