发现在整座 DevOps 软件结构设计开发周期中为保护虚拟化即标识符 (IaC) 的最差课堂教学和辅助工具。
虚拟化即标识符 (IaC) 是选用命令行或JAVA而不是全自动布署和实用性过程来管理工作和实用性计算能力的作法。这使开发者和营运项目组能够更有效地协同、智能化布署并提高连续性和可靠性。
基础建设即标识符——你须要知道的所有人
不过,IaC 也增添了捷伊安全可靠考验和风险,须要在 DevOps 软件结构设计开发周期 (SDLC) 的每一期科砂藓。
在这篇昌明中,他们将降解 DevOps 开发周期的每一关键性步骤,从方案到布署后,并特别强调与每一期相关的潜在性安全可靠信用风险。他们还将提供最差课堂教学和提议,以减低那些信用风险并升用的 IaC 基础建设的安全可靠。
通过遵从那些原则,您能自信心地在您的 DevOps 业务流程中选用 IaC,而不会侵害您的插件和数据的安全可靠性。
让他们研讨 DevOps SDLC 中 IaC 的安全可靠考验和软件系统!
浏览第二份单。
方案总体规划期牵涉表述基础建设的要求和结构设计,以及辨识可能影响它的潜在性严重威胁和安全漏洞。在总体规划期,您如果做三件主要的事情来为保护您的 IaC:
严重威胁可视化创建权利严重威胁可视化对于严重威胁可视化,一般来说选用国际标准架构或方式(比如 STRIDE 或 DREAD)来辨识虚拟化结构设计中最关键性的信用风险并确认其错误率。您还能选用Microsoft 的严重威胁可视化辅助工具或OWASP Threat Dragon 等辅助工具来协助您进行严重威胁可视化。考量选用身份验证、杂凑和公钥管理工作技术来为保护数据传输中和动态的内网和凭证。您还如果有一个处置不受信赖的输出的方案。此外,请考量 WAF 等互联网控制如何明显改善插件的安全可靠情况。
创建权利始终遵从最小权利原则,这意味着只授予每一资源和帐户所需的最低权限和访问级别。对于用户帐户,通过分离不同项目组成员的职责来实施职责分离。如果互联网犯罪分子劫持帐户或凭证,将个人凭证的力量降至最低可减少可能造成的侵害。
发展开发或编码期牵涉编写和更新表述基础建设的标识符或JAVA。此期的一些安全可靠最差课堂教学是:
基于安全可靠的 IDE 插件预提交挂钩动态分析秘密管理工作IDE插件在 DevOps 中,文化是关于“左移”的,这意味着尽早发现错误和安全可靠问题比迟早发现要好。作为开发者,在编写 IaC 时,您能获得的最快反馈就在您的 IDE 中。有多种 IDE 插件能够在您编写标识符时辨识代码中的安全漏洞。几个例子是:
TFLint — 具有一些安全可靠最差课堂教学规则的 TerraForm linterCheckov——针对多种 IaC 的错误实用性扫描器Snyk — 提供 IDE 插件的标识符、容器和 IaC 扫描器预提交挂钩在标识符提交到您的版本控制系统之前,预提交挂钩会自动执行动态标识符分析辅助工具。比如,当秘密已经在您存储库的 git 历史记录中时,修复暴露的秘密可能会变得混乱。如果您将秘密扫描器设置为预提交挂钩,它会在秘密被提交之前捕获秘密,并使您免于稍后进行一些额外的清理工作。
创建预提交挂钩以在不到 2 分钟内选用 GGShield 检测机密
ggshield是一个在本地环境或 CI 环境中运行的 CLI 插件,可协助检测 300 多种类型的秘密,以及其他潜在性的安全可靠安全漏洞或策略安全漏洞。
动态分析将标识符提交到您的版本控制存储库后,您能选用动态标识符分析辅助工具对其进行扫描。有多种扫描辅助工具,具体取决于您要扫描的内容。一些流行的 IaC 动态分析辅助工具是:
ggshield — 是的,GitGuardian CLI 也能通过运行以下命令来扫描虚拟化即标识符安全漏洞:ggshield iac scan iac_repoKube Bench — 基于CIS Kubernetes Benchmark 的Kubernetes 实用性扫描器Coverity — 类似于 Snyk 的动态分析平台了解有关选用 ggshield 扫描 IaC 错误实用性的更多信息:
引入虚拟化即标识符安全可靠扫描
机密管理工作机密管理工作本身就是一个复杂的主题,但这所有人都是为了升用的机密能安全可靠的方式访问。如果您想了解有关如何擅长秘密管理工作的更多信息,请查看他们的秘密管理工作成熟度模型。
构建和测试在构建和测试期,您有机会看到基础建设的外观和行为方式。那些是您在 DevSecOps 管道的这个期如果遵从的关键性安全可靠课堂教学:
环境分离动态测试安全漏洞扫描容器镜像扫描神器签名环境分离选用尽可能模拟生产环境但具有隔离资源和数据的专用测试环境。当安全漏洞被引入测试环境时,在环境之间共享诸如数据库之类的东西可能会导致生产数据面临信用风险。
动态测试动态测试辅助工具对已布署的虚拟化执行智能化测试,以根据预期的安全可靠策略和国际标准检查其实用性和行为。InSpec和Terratest是几个流行的 IaC 动态测试辅助工具。
容器镜像扫描当您的插件选用容器镜像时,清点每一镜像中内置的软件并查找易受攻击的过时版本非常重要。您能选用Aqua或Snyk等辅助工具扫描 CI 管道中新建的映像,但定期扫描整座容器注册表以确保在未接收映像时发现新安全漏洞也是一个好主意更新。并且不要忘记图像层中泄露的秘密!
Docker 镜像中暴露的秘密:在 Docker Hub 中寻找秘密
神器签名当您签署构建工件(比如二进制文件和容器映像)时,您就是在确保服务在构建到布署之间的完整性。要详细了解为什么供应链安全可靠很重要以及如何实施它,请查看他们关于供应链安全可靠的博客。
布署布署 IaC 是自动发生的,因此在这个期没有太多的操作参与。但是,您仍然须要在布署管道中遵从一些策略,以升用在安全可靠布署资产时符合最差课堂教学:
不变性库存管理工作不变性布署虚拟化后,您不希望它偏离标识符中表述的内容。布署后的更改可能会引入意外的错误或安全漏洞。每当须要更改时,您如果首先更新标识符,然后按照 CI/CD 业务流程重新布署整座虚拟化。如果可能,选用策略或控制来防止在布署虚拟化后对其进行修改。
库存管理工作库存管理工作是大多数互联网安全可靠架构的基础部分。当您调试和停用资产时,您的 IaC 辅助工具如果会自动更新您的整体资产清单,以便您准确了解您的攻击面。将标签应用于资产是另一种能协助您组织和维护库存的作法。标签能提高您辨识实用性偏差和未正确停用的已弃用系统的能力。
监视器布署后监控在历史上一直是安全可靠程序的基础,但随着布署环境发生变化并转移到云端,出现了一些为保护 IaC 的新方式。尽管如此,安全可靠监控的两个关键性是不变的:
记录严重威胁检测记录在供应和实用性 IaC 资源时,您如果进行审计和安全可靠日志记录,以记录基础建设的创建和访问。将日志转发到 SIEM 或分析引擎能协助您辨识异常情况,比如在正常布署周期之外启动资源或在实用性之外更改实用性(回到不变性的重要性)。
严重威胁检测在您的 IaC 中构建运行时严重威胁检测是升用在创建的基础建设受到攻击时得到通知的最差方式。根据您布署的基础建设类型,有无数的安全可靠辅助工具可供选择。有像Falco这样的辅助工具能检测 Kubernetes pod 中的异常或用于传统虚拟机基础建设的 EDR 辅助工具。您还能根据启用检测策略所需的内容将其他日志转发到 SIEM。
摘要:15 个虚拟化即标识符最差课堂教学方案严重威胁可视化:选用架构来辨识虚拟化结构设计中的信用风险并确认其错误率。考量身份验证、杂凑、公钥管理工作技术和互联网控制。创建权限:遵从最小权限原则并实施职责分离,以最大限度地减少个人凭证的权力。发展基于安全可靠的 IDE 插件:选用 IDE 插件尽早捕获错误和安全可靠问题,比如TFLint、Checkov和Snyk。预提交挂钩:在标识符提交到版本控制系统之前自动执行动态标识符分析辅助工具。选用ggshield检测 350 多种类型的秘密。动态分析:选用ggshield、Kube Bench和Coverity等动态分析辅助工具扫描标识符。机密管理工作:选用适当的辅助工具安全可靠地管理工作机密。如果须要,选用 GitGuardian 的机密管理工作成熟度模型。构建和测试环境分离:选用尽可能模拟生产环境但具有隔离资源和数据的专用测试环境。动态测试:选用智能化测试根据安全可靠策略和国际标准(比如InSpec和Terratest)检查基础建设实用性和行为。容器镜像扫描:清点每一镜像中内置的软件,并查找易受攻击的过时版本。选用 Aqua 和 Snyk 等辅助工具扫描 CI 管道中新建的图像。工件签名:对二进制文件和容器映像等工件进行签名以确保其完整性。布署不变性:不允许偏离标识符中表述的布署后更改。选用政策或控制措施来防止基础建设在布署后被修改。库存管理工作:启用和退役资产,自动更新资产库存并为资产应用标签以组织和维护库存。监视器日志记录:选用审计和安全可靠日志记录来提供和实用性 IaC 资源,以保留对基础建设的创建和访问的记录。将日志转发到 SIEM 或分析引擎以辨识异常。严重威胁检测:选用Falco或传统 EDR 辅助工具等辅助工具将运行时严重威胁检测构建到 IaC 中。结论在这篇昌明中,他们讨论了在 DevSecOps 软件结构设计开发周期的每一期为保护 IaC 的一些最差课堂教学和辅助工具。通过遵从那些关键性步骤并参考第二份单,您能提高整座 DevOps 管道中 IaC 的安全可靠性、可靠性和连续性。
如果您有兴趣选用 Terraform 深入了解基础建设安全可靠性,请务必查看他们之前的昌明。它提供了对 Terraform 安全可靠课堂教学和技术的详细探索,您能选用那些课堂教学和技术进一步增强 IaC 安全可靠性。不要错过这个宝贵的资源!
