DevOps需要轉(zhuǎn)變?yōu)镈evSecOps來關(guān)閉云中的安全威脅

2020-05-15 15:20:22 編輯：來源：

導(dǎo)讀根據(jù)Oracle和畢馬威的一份新報(bào)告，每個(gè)人都很難保證云部署的安全。《2020年威脅報(bào)告：應(yīng)對(duì)不斷變化的國(guó)家中的安全配置》發(fā)現(xiàn)，92%的IT專業(yè)人員認(rèn)為他們的組織沒有做好確保公共云服務(wù)的充分準(zhǔn)備。兩個(gè)最大的安全風(fēng)險(xiǎn)是擁有太多特權(quán)的管理帳戶和管理不善的云秘密，如密鑰、帳戶憑據(jù)和密碼。報(bào)告還發(fā)現(xiàn)：以下是對(duì)超特權(quán)帳戶的問題的回顧，以及關(guān)于如何在軟件開發(fā)中實(shí)現(xiàn)DevSec操作方法可以關(guān)閉云部

根據(jù)Oracle和畢馬威的一份新報(bào)告，每個(gè)人都很難保證云部署的安全。《2020年威脅報(bào)告：應(yīng)對(duì)不斷變化的國(guó)家中的安全配置》發(fā)現(xiàn)，92%的IT專業(yè)人員認(rèn)為他們的組織沒有做好確保公共云服務(wù)的充分準(zhǔn)備。

兩個(gè)最大的安全風(fēng)險(xiǎn)是擁有太多特權(quán)的管理帳戶和管理不善的云秘密，如密鑰、帳戶憑據(jù)和密碼。

報(bào)告還發(fā)現(xiàn)：.

以下是對(duì)超特權(quán)帳戶的問題的回顧，以及關(guān)于如何在軟件開發(fā)中實(shí)現(xiàn)DevSec操作方法可以關(guān)閉云部署中的安全漏洞的建議。

今年的云威脅報(bào)告的一個(gè)關(guān)鍵線索是特權(quán)云憑據(jù)是壞演員的新切入點(diǎn)。甲骨文/畢馬威的報(bào)告發(fā)現(xiàn)，59%的受訪者認(rèn)為，擁有特權(quán)云賬戶的團(tuán)隊(duì)成員的證書因釣魚攻擊而受到損害。

SEE：谷歌云平臺(tái)：內(nèi)部人士指南(免費(fèi)PDF)

報(bào)告建議執(zhí)行最小權(quán)限訪問策略，特別是在多云環(huán)境中。這是不容易的，因?yàn)槌橄蟮沫h(huán)境具有“用戶、帳戶和云之間多對(duì)多關(guān)系的矩陣可以說使實(shí)現(xiàn)最小特權(quán)變得復(fù)雜，正如我們的研究結(jié)果所證明的那樣?！?/p>

同時(shí)，調(diào)查發(fā)現(xiàn)，過度特權(quán)賬戶是配置錯(cuò)誤最多的云服務(wù)，37%的受訪者認(rèn)為這個(gè)問題是最大的問題。這一清單還包括：

最常被引用的配置錯(cuò)誤的云服務(wù)，即特權(quán)過高的帳戶，與未受保護(hù)的云秘密直接相關(guān)，這是報(bào)告確定的另一個(gè)重大云威脅。

這些特權(quán)云憑據(jù)是攻擊者所需要的，因?yàn)橛泻芨弑壤慕M織報(bào)告了旨在竊取這些憑據(jù)的矛釣魚攻擊。被盜的特權(quán)云憑據(jù)可以用來訪問額外的云密，從那里可以訪問許多其他服務(wù)，包括數(shù)據(jù)存儲(chǔ)，如數(shù)據(jù)庫和對(duì)象存儲(chǔ)。答復(fù)者指出，在未受保護(hù)的地點(diǎn)發(fā)現(xiàn)了秘密，例如：

報(bào)告的作者指出，這個(gè)問題——將云的秘密存儲(chǔ)在沒有保護(hù)的地方的清晰文本中——是相互競(jìng)爭(zhēng)的目標(biāo)的副產(chǎn)品：開發(fā)團(tuán)隊(duì)行動(dòng)迅速，沒有考慮他們將秘密放在哪里。實(shí)現(xiàn)最小權(quán)限策略和使用硬件存儲(chǔ)模型或密鑰庫可以解決這個(gè)問題。

報(bào)告指出，為了減少云部署中的安全威脅，安全必須成為一項(xiàng)業(yè)務(wù)需求和一項(xiàng)共同責(zé)任，而不是事后考慮。采用DevOps方法進(jìn)行軟件開發(fā)是這一轉(zhuǎn)變的一部分。該報(bào)告發(fā)現(xiàn)，DevOps不再是一種僅由云計(jì)算公司使用的方法。調(diào)查受訪者報(bào)告說，DevOps正在被廣泛采用，只有6%的受訪者表示他們沒有計(jì)劃使用這種方法。 Dev Ops正在成為主流，“近三分之一的受訪者已經(jīng)開始使用Dev Ops，近四分之一的人計(jì)劃在未來12-24個(gè)月內(nèi)這樣做，另三分之一的人有興趣這樣做。”

這一演變的下一個(gè)階段是將安全集成到日常的DevOps工作中。公司不太贊同這一變化，因?yàn)槌^三分之一的受訪者表示，他們的組織已經(jīng)將安全納入了他們的DevOps流程。

報(bào)告作者認(rèn)為，許多公司都沒有機(jī)會(huì)從設(shè)計(jì)階段建立一種安全文化。

為了構(gòu)建一個(gè)安全的DevOps程序，通過與連續(xù)集成和連續(xù)交付(CI/CD)工具鏈的集成來實(shí)現(xiàn)網(wǎng)絡(luò)安全過程和控制的自動(dòng)化，組織必須將安全遺留到dev-time和構(gòu)建時(shí)間中。這些工具和做法支持過渡：

46%的受訪者表示，使用DevSecOps方法的最重要原因是將安全性支持到連續(xù)傳遞工具鏈的每個(gè)階段。協(xié)作和效率是下一個(gè)最重要的合規(guī)因素。

今年的報(bào)告是五個(gè)部分的系列報(bào)告中的第一份，后續(xù)報(bào)告提供了關(guān)于中心云安全主題的研究結(jié)果的見解，包括：

本報(bào)告提供的數(shù)據(jù)是通過企業(yè)戰(zhàn)略小組在2019年12月16日至2020年1月16日期間對(duì)北美（美國(guó)和加拿大)、西歐(英國(guó)和法國(guó))和亞太(澳大利亞、日本和新加坡）私營(yíng)和公共部門組織的750名網(wǎng)絡(luò)安全和信息技術(shù)專業(yè)人員進(jìn)行的在線調(diào)查收集的。為了符合這項(xiàng)調(diào)查的資格，答復(fù)者必須負(fù)責(zé)評(píng)估、購(gòu)買和管理網(wǎng)絡(luò)安全技術(shù)產(chǎn)品和服務(wù)，并對(duì)其組織的公共云利用有很高的熟悉程度。所有答復(fù)者都得到了完成調(diào)查的動(dòng)力。

標(biāo)簽： DevOps