AWS平臺的安全自動(dòng)化的基本功能

DevSecOps的策略和工具正在極大地改變組織將其應(yīng)用程序變?yōu)楝F(xiàn)實(shí)的方式。有一種心態(tài)，即必須將安全性納入軟件開發(fā)生命周期的每個(gè)階段中，并且每個(gè)人都應(yīng)對安全性負(fù)責(zé)，這可以降低軟件開發(fā)的總成本并確保更快地發(fā)布安全應(yīng)用程序。

任何安全策略的共同目標(biāo)是在安全地解決問題之前，可以快速，安全地解決問題，從而導(dǎo)致數(shù)據(jù)丟失。應(yīng)用程序開發(fā)人員不是安全專家，并且可能不具備及時(shí)發(fā)現(xiàn)和解決安全問題的知識和技能。這是安全自動(dòng)化可以提供幫助的地方。

安全自動(dòng)化使用工具來連續(xù)掃描，檢測，調(diào)查和補(bǔ)救代碼或應(yīng)用程序環(huán)境中的威脅和漏洞，而無需人工干預(yù)。工具可擴(kuò)展將安全性納入DevSecOps流程的過程，而無需增加人員技能或資源。他們通過在發(fā)現(xiàn)明顯明顯違反安全策略的內(nèi)容時(shí)自動(dòng)圍繞問題建立安全欄來實(shí)現(xiàn)此目的。

AWS云平臺已成熟實(shí)現(xiàn)安全自動(dòng)化亞馬遜聲稱在其云計(jì)算平臺上有超過一百萬個(gè)客戶，其中大多數(shù)是中小型公司，但也有企業(yè)級用戶。無論客戶規(guī)模如何，亞馬遜始終都有共同承擔(dān)安全責(zé)任的模型。

亞馬遜致力于保護(hù)受其控制的每個(gè)組件。但是，客戶有責(zé)任保護(hù)其控制的內(nèi)容，包括配置，代碼，應(yīng)用程序，最重要的是數(shù)據(jù)。這為錯(cuò)誤配置，不安全的代碼，易受攻擊的API和安全性差的數(shù)據(jù)留下了很多機(jī)會，這些都可能導(dǎo)致數(shù)據(jù)泄露。

一個(gè)在AWS常見的安全問題是一個(gè)開放的S3存儲桶，數(shù)據(jù)在互聯(lián)網(wǎng)上公開可讀。盡管S3存儲桶的默認(rèn)配置是私有的，但對于開發(fā)人員而言，更改策略以使其打開并以嵌套方式應(yīng)用許可更改是相當(dāng)容易的。一個(gè)安全自動(dòng)化工具應(yīng)該能夠找到并識別這種不安全的配置，并且無需人工干預(yù)就可以簡單地禁止對資源的公共訪問。

亞馬遜分別在2017年和2018年添加了此類工具，但我們?nèi)匀豢吹接捎陂_放S3存儲桶而導(dǎo)致數(shù)據(jù)泄露的公司的頭條新聞。該安全工具應(yīng)與相應(yīng)的團(tuán)隊(duì)進(jìn)行通信，但是在許多情況下，基于數(shù)據(jù)的敏感內(nèi)容，該工具還應(yīng)自動(dòng)糾正配置錯(cuò)誤的訪問策略。進(jìn)行安全自動(dòng)化的團(tuán)隊(duì)也可以使用這種類型的警報(bào)和自動(dòng)修復(fù)功能，以更好地了解其代碼或環(huán)境中的問題，并希望在問題再次發(fā)生之前將其拒之門外。

還有什么可以自動(dòng)修復(fù)的？AWS中有數(shù)百個(gè)漏洞可以并且應(yīng)該在沒有人工干預(yù)的情況下進(jìn)行修復(fù)。這里只是幾個(gè)例子：

AWS CloudTrail靜態(tài)數(shù)據(jù)加密級別AWS CloudFront Distribution日志記錄訪問控制AWS Elastic Block Store訪問控制AWS S3存儲桶訪問控制AWS S3存儲桶勒索軟件暴露AWS Simple Queue Service暴露

安全自動(dòng)化工具的基本功能AWS安全自動(dòng)化產(chǎn)品的重要功能類別很重要。一類是通過API的自動(dòng)修復(fù)以及排隊(duì)的身份驗(yàn)證和加密來處理動(dòng)態(tài)數(shù)據(jù)。其他解決方案通過自動(dòng)修復(fù)數(shù)據(jù)庫以及存儲加密和備份來解決靜態(tài)數(shù)據(jù)。需要進(jìn)行安全監(jiān)視和強(qiáng)制執(zhí)行，以自動(dòng)保護(hù)開發(fā)人員避免在移動(dòng)或存儲數(shù)據(jù)時(shí)犯錯(cuò)誤。

這是在安全自動(dòng)化工具中要尋找的四個(gè)基本功能。

1.持續(xù)發(fā)現(xiàn)云，移動(dòng)和Web應(yīng)用程序中的影子APIAPI支持機(jī)器對機(jī)器數(shù)據(jù)的檢索，從根本上消除了障礙并加速了對數(shù)據(jù)的訪問。如今，幾乎沒有現(xiàn)代應(yīng)用程序提供不與其他應(yīng)用程序和數(shù)據(jù)源集成的API。開發(fā)人員只需編寫幾行代碼即可創(chuàng)建API。影子API是在安全團(tuán)隊(duì)的權(quán)限范圍之外運(yùn)行的API。在僅程序員知道的代碼上強(qiáng)制執(zhí)行安全性是一個(gè)挑戰(zhàn)。因此，安全自動(dòng)化工具必須具有連續(xù)掃描和發(fā)現(xiàn)可能構(gòu)成安全威脅以防止數(shù)據(jù)泄露的API的能力。

2.移動(dòng)和現(xiàn)代Web應(yīng)用程序的全棧安全性分析在數(shù)據(jù)被吸收到AWS云中之前，它通常從Web或移動(dòng)應(yīng)用程序的客戶端層開始。保護(hù)用戶隱私和保護(hù)敏感數(shù)據(jù)是一項(xiàng)持續(xù)的工作，需要對從移動(dòng)設(shè)備到Web到后端云服務(wù)的漏洞進(jìn)行分析?，F(xiàn)代攻擊者通常專注于利用客戶端層來劫持移動(dòng)應(yīng)用程序或單頁面應(yīng)用程序中保留的用戶會話，嵌入式密碼和有毒令牌。

3.自動(dòng)化完全集成到CI/CD管道中，并支持自動(dòng)修復(fù)大多數(shù)漏洞評估工具通過向Jira，Bugzilla和Jenkins等系統(tǒng)報(bào)告發(fā)現(xiàn)的內(nèi)容，將它們集成到CI/CD管道中。這是評估工具的賭注。但是，更有價(jià)值的是在CI/CD管道中包括對問題的自動(dòng)修復(fù)。該工具無需等待人工完成并驗(yàn)證該漏洞的修補(bǔ)程序，而是自動(dòng)執(zhí)行此操作并將結(jié)果報(bào)告給票務(wù)系統(tǒng)。這使開發(fā)人員不必花時(shí)間解決常見問題。

4.用于計(jì)劃的生產(chǎn)前評估的自動(dòng)化漏洞黑客工具包公司通常會雇用白帽黑客在其生產(chǎn)前環(huán)境中進(jìn)行即時(shí)滲透測試。一種更現(xiàn)代的方法是部署一個(gè)工具箱，該工具箱連續(xù)執(zhí)行相同的黑客活動(dòng)。使用這種工具包不僅成本效益更高，而且還可以不間斷地查找和修復(fù)漏洞。

當(dāng)自動(dòng)修復(fù)可能不合適時(shí)自動(dòng)修復(fù)某些安全問題并不總是合適的。相反，最好是該工具僅發(fā)現(xiàn)問題并發(fā)出警報(bào)，讓人們決定如何解決問題。例如，在需要加密密鑰的情況下（例如，對于數(shù)據(jù)庫以及對于需要用戶交互的配置（例如，選擇VPC或IAM規(guī)則）），自動(dòng)修復(fù)通常是不合適的。當(dāng)修復(fù)程序需要更改客戶專有代碼庫中的現(xiàn)有代碼邏輯時(shí)，這也不適當(dāng)。

但是，某些工具確實(shí)有助于處理不安全的代碼。所有安全自動(dòng)化工具中都沒有發(fā)現(xiàn)的一項(xiàng)有用功能是識別錯(cuò)誤代碼以及有關(guān)如何使用安全代碼修復(fù)它的建議。在預(yù)生產(chǎn)階段查看推薦的代碼修復(fù)程序有助于快速解決問題，而不會浪費(fèi)時(shí)間研究為什么代碼會帶來麻煩。開發(fā)人員開始專注于他們的應(yīng)用程序，而安全團(tuán)隊(duì)則確保持續(xù)的安全驗(yàn)證。

其他云服務(wù)商：Rackspace CloudRackspace（NYSE：RAX）全球三大云計(jì)算中心之一，1998年成立，是一家全球領(lǐng)先的托管服務(wù)器及云計(jì)算提供商，公司總部位于美國，在英國，澳大利亞，瑞士，荷蘭及香港設(shè)有分部。在全球擁有10個(gè)以上數(shù)據(jù)中心，管理超過10萬臺服務(wù)器。Rackspace的托管服務(wù)產(chǎn)品包括專用服務(wù)器，電子郵件，SharePoint，云服務(wù)器，云存儲，云網(wǎng)站等。在服務(wù)架構(gòu)上提供專用托管，公有云，私有云及混合云。

谷歌云Google Cloud Platform是Google的云服務(wù)提供商。該平臺使用戶能夠使用Google提供的模塊化Web服務(wù)創(chuàng)建業(yè)務(wù)解決方案。它提供各種服務(wù)，包括IaaS和PaaS解決方案。借助Google Cloud的多層安全基礎(chǔ)架構(gòu)，用戶可以放心，您構(gòu)建，創(chuàng)建，編碼或存儲的任何內(nèi)容都將受到保護(hù)。這是通過對透明度的承諾和訓(xùn)練有素的工程師團(tuán)隊(duì)來實(shí)現(xiàn)的。Google Cloud提供了多種工具來確保一致的性能和管理。其中包括計(jì)算引擎，App Engine，容器引擎，云存儲和大查詢。Google還提供靈活定價(jià)的平滑遷移到虛擬機(jī)。