您的位置: 首頁 >互聯(lián)網(wǎng) >

DevOps需要轉(zhuǎn)變?yōu)镈evSecOps來關(guān)閉云中的安全威脅

2020-05-15 15:20:22 編輯: 來源:
導(dǎo)讀 根據(jù)Oracle和畢馬威的一份新報告,每個人都很難保證云部署的安全。 《2020年威脅報告:應(yīng)對不斷變化的國家中的安全配置》發(fā)現(xiàn),92%的IT專業(yè)人員認為他們的組織沒有做好確保公共云服務(wù)的充分準備。 兩個最大的安全風(fēng)險是擁有太多特權(quán)的管理帳戶和管理不善的云秘密,如密鑰、帳戶憑據(jù)和密碼。 報告還發(fā)現(xiàn): 以下是對超特權(quán)帳戶的問題的回顧,以及關(guān)于如何在軟件開發(fā)中實現(xiàn)DevSec操作方法可以關(guān)閉云部

根據(jù)Oracle和畢馬威的一份新報告,每個人都很難保證云部署的安全。 《2020年威脅報告:應(yīng)對不斷變化的國家中的安全配置》發(fā)現(xiàn),92%的IT專業(yè)人員認為他們的組織沒有做好確保公共云服務(wù)的充分準備。

兩個最大的安全風(fēng)險是擁有太多特權(quán)的管理帳戶和管理不善的云秘密,如密鑰、帳戶憑據(jù)和密碼。

報告還發(fā)現(xiàn):.

以下是對超特權(quán)帳戶的問題的回顧,以及關(guān)于如何在軟件開發(fā)中實現(xiàn)DevSec操作方法可以關(guān)閉云部署中的安全漏洞的建議。

今年的云威脅報告的一個關(guān)鍵線索是特權(quán)云憑據(jù)是壞演員的新切入點。 甲骨文/畢馬威的報告發(fā)現(xiàn),59%的受訪者認為,擁有特權(quán)云賬戶的團隊成員的證書因釣魚攻擊而受到損害。

SEE:谷歌云平臺:內(nèi)部人士指南(免費PDF)

報告建議執(zhí)行最小權(quán)限訪問策略,特別是在多云環(huán)境中。 這是不容易的,因為抽象的環(huán)境具有“用戶、帳戶和云之間多對多關(guān)系的矩陣可以說使實現(xiàn)最小特權(quán)變得復(fù)雜,正如我們的研究結(jié)果所證明的那樣?!?/p>

同時,調(diào)查發(fā)現(xiàn),過度特權(quán)賬戶是配置錯誤最多的云服務(wù),37%的受訪者認為這個問題是最大的問題。 這一清單還包括:

最常被引用的配置錯誤的云服務(wù),即特權(quán)過高的帳戶,與未受保護的云秘密直接相關(guān),這是報告確定的另一個重大云威脅。

這些特權(quán)云憑據(jù)是攻擊者所需要的,因為有很高比例的組織報告了旨在竊取這些憑據(jù)的矛釣魚攻擊。 被盜的特權(quán)云憑據(jù)可以用來訪問額外的云密,從那里可以訪問許多其他服務(wù),包括數(shù)據(jù)存儲,如數(shù)據(jù)庫和對象存儲。 答復(fù)者指出,在未受保護的地點發(fā)現(xiàn)了秘密,例如:

報告的作者指出,這個問題——將云的秘密存儲在沒有保護的地方的清晰文本中——是相互競爭的目標的副產(chǎn)品:開發(fā)團隊行動迅速,沒有考慮他們將秘密放在哪里。 實現(xiàn)最小權(quán)限策略和使用硬件存儲模型或密鑰庫可以解決這個問題。

報告指出,為了減少云部署中的安全威脅,安全必須成為一項業(yè)務(wù)需求和一項共同責(zé)任,而不是事后考慮。 采用DevOps方法進行軟件開發(fā)是這一轉(zhuǎn)變的一部分。 該報告發(fā)現(xiàn),DevOps不再是一種僅由云計算公司使用的方法。 調(diào)查受訪者報告說,DevOps正在被廣泛采用,只有6%的受訪者表示他們沒有計劃使用這種方法。 Dev Ops正在成為主流,“近三分之一的受訪者已經(jīng)開始使用Dev Ops,近四分之一的人計劃在未來12-24個月內(nèi)這樣做,另三分之一的人有興趣這樣做。”

這一演變的下一個階段是將安全集成到日常的DevOps工作中。 公司不太贊同這一變化,因為超過三分之一的受訪者表示,他們的組織已經(jīng)將安全納入了他們的DevOps流程。

報告作者認為,許多公司都沒有機會從設(shè)計階段建立一種安全文化。

為了構(gòu)建一個安全的DevOps程序,通過與連續(xù)集成和連續(xù)交付(CI/CD)工具鏈的集成來實現(xiàn)網(wǎng)絡(luò)安全過程和控制的自動化,組織必須將安全遺留到dev-time和構(gòu)建時間中。 這些工具和做法支持過渡:

46%的受訪者表示,使用DevSecOps方法的最重要原因是將安全性支持到連續(xù)傳遞工具鏈的每個階段。 協(xié)作和效率是下一個最重要的合規(guī)因素。

今年的報告是五個部分的系列報告中的第一份,后續(xù)報告提供了關(guān)于中心云安全主題的研究結(jié)果的見解,包括:

本報告提供的數(shù)據(jù)是通過企業(yè)戰(zhàn)略小組在2019年12月16日至2020年1月16日期間對北美(美國和加拿大)、西歐(英國和法國)和亞太(澳大利亞、日本和新加坡)私營和公共部門組織的750名網(wǎng)絡(luò)安全和信息技術(shù)專業(yè)人員進行的在線調(diào)查收集的。 為了符合這項調(diào)查的資格,答復(fù)者必須負責(zé)評估、購買和管理網(wǎng)絡(luò)安全技術(shù)產(chǎn)品和服務(wù),并對其組織的公共云利用有很高的熟悉程度。 所有答復(fù)者都得到了完成調(diào)查的動力。



免責(zé)聲明:本文由用戶上傳,如有侵權(quán)請聯(lián)系刪除!

精彩推薦

圖文推薦

點擊排行

2016-2022 All Rights Reserved.平安財經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082   備案號:閩ICP備19027007號-6

本站除標明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。