服务热线:4006 883 888

新闻动态
NEWS

上海市申博机械科技有限公司

服务热线:4006 883 888
公司地址:上海市鼎发新区观海大道111号富明商务中心18层
联系电话:021-68863918

邮 箱:Sunbet@006yb.com

当前位置:主页 > 新闻动态 > 行业新闻 >

行业新闻

浅谈DevOps Security

时间:2020-05-15来源:申博太阳城浏览次数:

云端时代的来临,让DevOps这个名词一时间流行起来。DevOps无非是让公司的平台服务「快速部署」及「快速的测试」达到公司想要的outcomes是合于期望的。但快速的结果可能是让整个平台的安全打了折扣。

 

请参考下图,右手边多了一块是把Security加入考量的因素。

DevOps是一个持续不断的对软体产品做出快速的功能释出及优化并且能提高开发人员与维运人员的协同作业,故在DevOps这一部分很多的工作都依靠自动化的作业。这一部分很多DevOps工程师都已经有相当的经验了,这一篇我们浅谈企业在实行DevOps的组织型态时如何能把安全的部分融入成整个DevOps的一部分且也不会让Security拖累DevOps效能与效率。

Security in DevOps

关于这一点已经有很多专家在讲DevOps的组织文化了,我们不在这里「掉书袋」了。

相反的在Security里,资安团队著中的可能是如下的议题:

  1. 根据内外部的法规法例及标准,我们的产品有没有符合.例如欧盟的GDPR
  2. 我们的产品目前有多少的security incidents
  3. 我们的产品还有多少的资安问题需要上patch的

等等

传统上开发团队与资安团队常常会因为各自的目标不同可能有互相对抗的状况发生,这对企业整体运作无疑是不好的事。
如何让DevOps与Security运作顺利呢?

哪就必须让Security融合成DevOps的一部分,DevOps教导我们把Development 跟Operation融合再一起。这时我们必须也要把Security融合近DevOps(如上图)。DevSecOps–将DevOps的焦点,从整个CI/CD的快速部署整合把层次拉高到整个组织对资安的要求。成为之前提到的在整个产品的开发周期及维运中也把security加进去成为”「continuous security」。

Continuous Security

这里我们分三个面向

  1. 以测试导向的资讯安全
  2. 监控与资安事件的回应
  3. 风险评估与逐步成熟的资安防御

以测试导向的资讯安全

资讯安全的第一步是要定义我们要「控制」的部分有哪些,定义之后就需要施作而后做测试。例如在Linux 的 OS里有哪些标准设定需要做,例如要不要开firewall,要开什么port。什么服务这台Linux只有提供Web service是不是应该只开Apache服务要不要有TLS的加密等。这些都需要被定义好并与相关的团队协调后能够施作而且能够定期的稽核这些设定是否有符合规则,最好能够够自动化这一类的工作。例如Chef 的Inspec能够支援这些稽核要求,甚至在CI/CD的阶段也能够把这些资安要求加入。例如把OWASP top 10的检查在CI/CD 阶段就加入检查。

简单的来说就是把我们对整个产品的security baseline是什么,这些基本要求要能够在security/developers/operators三个团队间达到成ㄧ致,确认这些基本要求都很重要。在Application/Infra layer都需要有一些security baseline都需要达到。

在CI/CD的Pipeline中,security control也很重要,若是这些服务被外来的骇客攻击放置一些malware,哪所做出来的产品就可能有后门让骇客来控制。

如同TDD的精神,我们也必须先把测试的要求先定义实作出来。每一个我们要求的资安控制项目都有达到才能进行下一个步骤。所以在CI/CD及 IaC(Infrastructure as a code)都需要有定义好的资安要求并能在每个阶段持续不断的测试(如下图)

以测试导向的资讯安全的方式有几个好处

  1. 预先写好这些资讯安全要求,并产出相关的文件。文件中能有非常清楚明白的定义让开发人员能够完全的了解,哪么开发人员在建立产品时就可以ㄧ并将这些资讯安全要求铭记在心。不用像以前开发的方式,功能做出来了才被要求去修正永远也修正不完的资安要求。
  2. 每个资安要求都能够非常明确,例如 “网路通讯间要加密”,这对技术人员来说非常模糊的说法。在Server 与client间要有Https的加密方式
  3. 有了一般化的资安要求后,这些一般化的资安控制要求就能被一再重复在不同的产品使用。因为这些资安控制项都是基本的。
  4. 当这些要求在整个产品周期中都被实行后,我们需要再对产品做相关的资安修补就可以大幅减少。团队可以把多余的心力聚焦在其他工作上。

监控与资安事件的回应

相信所有人都知道监控的重要,因为只要服务放在网路上,总有一天你的服务一定会受到各式各样的网路攻击。而所以监控就变得很重要,监控的层面也变得很广。从infra层到程式端甚至是资料本身也须要被监控,然而每个公司的资源有限我们不太可能每一个资安层面都能面面具到的照顾到,所以这时资安的要求必需要被分优先权。

我们需要透过监控的方式来达到1)侦测整个产品服务的异常,不管是在哪个层面infra layer/ Application/ Data layer这些平常服务产生的我们需要从中去做相对应的分析。但如此多的不一样层面及大量的的log资料来源需要做此类的分析可能就很耗时与困难,而且什么叫正常什么叫异常可能整个团队一开始也没办法完全定义的很清楚,这时也许UBEA(User and entity behavior analytics)是一个不错的选择。2)若有资安事件发生这些监控的资料能够成为资安鉴识重要资料来源。

关于什么是UBEA可以参考以下的连结解说

https://www.varonis.com/blog/user-entity-behavior-analytics-ueba/

除了分析log之外,我们要如何侦测入侵者呢?一般传统的方式是使用IDS(Intrusion detection system)进阶一点的就再使用IPS(intrusion prevention system).若是使用VM的方式部署服务,哪Host base IPS/IDS也可能ㄧ并部署下去。但如同我们之前有文章提到部署了这么多资安控制项在我们的环境里,有没有可能会影响我们的效能与设定操作的复杂性,这些都需要被考量进去。
再来网路层面就会是用Netflow的方式监看目前所有连线是不是都是正常合法的,有没有不正常的连线。这在传统机房或云端的IaaS模式不是太难,但在PaaS模式例如Container下困难度就会很高。

如何做到当有资安事件的攻击能快速反应呢?若是一般没有准备好的团队一定就是手忙脚乱毫无章法,往往不知怎么应对。这里提供六个阶段帮助你做好准备

  1. 准备阶段—确保你有最低限度的标准程序来对应这些资安事件
  2. 确认阶段–快速且准确的辨认资安事件是否发生
  3. 围堵阶段—一但确认后要防止事件状况恶化
  4. 消除阶段— 消除此一资安事件
  5. 回复阶段— 将产品服务回到上一次的已知的良好状况
  6. 学习阶段— 回顾这一个事件为何发生的来龙去脉,并修正在准备阶段的资安标准程序,防止依后有相同事件发生

这是一个循环的程序,一个PDCA的模式

风险评估与逐步成熟的资安防御

一个完整的持续安全的环境会建立在良好的文化组织与管理上,所有成员对资安都有ㄧ致的共识标准。之后就是在技术层面上施作与标准的资安事件的回应程序。

但其实在组织中,「人员」的部分才是最大风险,如何在DevOps team里做好风险管控呢?

风险管理就是需要「辨认」什么样的「威胁」会对我们的服务造成「危害」,这些威胁需要被分「优先顺序」制定「对应的方式」。在DevOpos team良好的风险管理必须达到三个目标

  1. 如同DevOps的做法,对资安议题要有快速小量的叠代。每次针对的资安提议能够被分类的够小够明确,能在很快的时间组成一个程序
  2. 自动化, 这也是 DevOps重要的部分,如何把自动化应用上资安议题上。
  3. 需要组织里的每一个人参与资安事件的讨论,并且能像讨论功能开发一样建立与维持产品的安全是需要团队合作的。

另外要让产品的资安防御逐渐的优化,持续的资安测试也是不可或缺的。团队内部可以针对产品或服务持续性的测试,例如 vulnerability scanning, fuzzing, static code analysis, configuration auditing等等整合到CI/CD的pipeline之中。且 CI/CD是在DevOps team的SDLC(Software development lifecycle)架构之下。

我们同时也可以雇用外部厂商来扮演外部的攻击者,对我们的产品或服务(非正式环境)做攻防演练,由外部厂商扮演红军内部成员为蓝军定期攻防演练。可以纸上作业(类似军队的兵棋推演)到模拟测试。

总结,成熟的资安产品服务需要时间逐步成熟。如何将资安如入产品或服务甚至融入公司的组织中,这需要公司的高层有强烈支持下才有办法运作。但在这转型的期间虽然可能会很痛苦,但所带来的效益将不只是技术与知识方面进步还有整合团队的合作并请能带来好的顾客满意度。

台积电正式宣布将在美国设立先进晶圆厂,明年就动工!

台积公司今(15)日宣布在与美国联邦政府及亚利桑那州的共同理解和其支持下,有意于美国兴建且营运一座先进晶圆厂。 此座将设立于亚利桑那州的厂房将采用台积公司的5奈米制程技术生产半导体晶片,规划月产能为20,000片晶圆,将直接创造超过1,600个高科技专业工作机会,并间接创造半导体产业生态系统中上千个工作机会。该晶圆厂将于2021年动工,于2024年开始量产。 2021年至2029年,台积公司于此专案上的支出(包括资本支出)约120亿美元。此先进晶圆厂不仅能使台积公司为客户和伙伴提供更好的服务,也为台积公司提供了更多吸引全球人才的机会。此专案对于充满活力及具有竞争力的美国半导体生态系统来说具有重要的策略性意义,它使具业界领先地位的美国公司能于美国境内生产其最先进的半导体产品,同时又能受惠于世界

上一篇:没有了

官方微博

Copyright © 2002-2018 . 上海市申博机械科技有限公司 版权所有
公司地址:上海市鼎发新区观海大道111号富明商务中心18层
联系电话:021-68863918

企业邮箱:Sunbet@006yb.com