AWS平臺的安全自動化的基本功能

DevSecOps的策略和工具正在極大地改變組織將其應用程序變?yōu)楝F(xiàn)實的方式。有一種心態(tài)，即必須將安全性納入軟件開發(fā)生命周期的每個階段中，并且每個人都應對安全性負責，這可以降低軟件開發(fā)的總成本并確保更快地發(fā)布安全應用程序。

任何安全策略的共同目標是在安全地解決問題之前，可以快速，安全地解決問題，從而導致數(shù)據(jù)丟失。應用程序開發(fā)人員不是安全專家，并且可能不具備及時發(fā)現(xiàn)和解決安全問題的知識和技能。這是安全自動化可以提供幫助的地方。

安全自動化使用工具來連續(xù)掃描，檢測，調查和補救代碼或應用程序環(huán)境中的威脅和漏洞，而無需人工干預。工具可擴展將安全性納入DevSecOps流程的過程，而無需增加人員技能或資源。他們通過在發(fā)現(xiàn)明顯明顯違反安全策略的內容時自動圍繞問題建立安全欄來實現(xiàn)此目的。

AWS云平臺已成熟實現(xiàn)安全自動化亞馬遜聲稱在其云計算平臺上有超過一百萬個客戶，其中大多數(shù)是中小型公司，但也有企業(yè)級用戶。無論客戶規(guī)模如何，亞馬遜始終都有共同承擔安全責任的模型。

亞馬遜致力于保護受其控制的每個組件。但是，客戶有責任保護其控制的內容，包括配置，代碼，應用程序，最重要的是數(shù)據(jù)。這為錯誤配置，不安全的代碼，易受攻擊的API和安全性差的數(shù)據(jù)留下了很多機會，這些都可能導致數(shù)據(jù)泄露。

一個在AWS常見的安全問題是一個開放的S3存儲桶，數(shù)據(jù)在互聯(lián)網(wǎng)上公開可讀。盡管S3存儲桶的默認配置是私有的，但對于開發(fā)人員而言，更改策略以使其打開并以嵌套方式應用許可更改是相當容易的。一個安全自動化工具應該能夠找到并識別這種不安全的配置，并且無需人工干預就可以簡單地禁止對資源的公共訪問。

亞馬遜分別在2017年和2018年添加了此類工具，但我們仍然看到由于開放S3存儲桶而導致數(shù)據(jù)泄露的公司的頭條新聞。該安全工具應與相應的團隊進行通信，但是在許多情況下，基于數(shù)據(jù)的敏感內容，該工具還應自動糾正配置錯誤的訪問策略。進行安全自動化的團隊也可以使用這種類型的警報和自動修復功能，以更好地了解其代碼或環(huán)境中的問題，并希望在問題再次發(fā)生之前將其拒之門外。

還有什么可以自動修復的？AWS中有數(shù)百個漏洞可以并且應該在沒有人工干預的情況下進行修復。這里只是幾個例子：

AWS CloudTrail靜態(tài)數(shù)據(jù)加密級別AWS CloudFront Distribution日志記錄訪問控制AWS Elastic Block Store訪問控制AWS S3存儲桶訪問控制AWS S3存儲桶勒索軟件暴露AWS Simple Queue Service暴露

安全自動化工具的基本功能AWS安全自動化產(chǎn)品的重要功能類別很重要。一類是通過API的自動修復以及排隊的身份驗證和加密來處理動態(tài)數(shù)據(jù)。其他解決方案通過自動修復數(shù)據(jù)庫以及存儲加密和備份來解決靜態(tài)數(shù)據(jù)。需要進行安全監(jiān)視和強制執(zhí)行，以自動保護開發(fā)人員避免在移動或存儲數(shù)據(jù)時犯錯誤。

這是在安全自動化工具中要尋找的四個基本功能。

1.持續(xù)發(fā)現(xiàn)云，移動和Web應用程序中的影子APIAPI支持機器對機器數(shù)據(jù)的檢索，從根本上消除了障礙并加速了對數(shù)據(jù)的訪問。如今，幾乎沒有現(xiàn)代應用程序提供不與其他應用程序和數(shù)據(jù)源集成的API。開發(fā)人員只需編寫幾行代碼即可創(chuàng)建API。影子API是在安全團隊的權限范圍之外運行的API。在僅程序員知道的代碼上強制執(zhí)行安全性是一個挑戰(zhàn)。因此，安全自動化工具必須具有連續(xù)掃描和發(fā)現(xiàn)可能構成安全威脅以防止數(shù)據(jù)泄露的API的能力。

2.移動和現(xiàn)代Web應用程序的全棧安全性分析在數(shù)據(jù)被吸收到AWS云中之前，它通常從Web或移動應用程序的客戶端層開始。保護用戶隱私和保護敏感數(shù)據(jù)是一項持續(xù)的工作，需要對從移動設備到Web到后端云服務的漏洞進行分析?，F(xiàn)代攻擊者通常專注于利用客戶端層來劫持移動應用程序或單頁面應用程序中保留的用戶會話，嵌入式密碼和有毒令牌。

3.自動化完全集成到CI/CD管道中，并支持自動修復大多數(shù)漏洞評估工具通過向Jira，Bugzilla和Jenkins等系統(tǒng)報告發(fā)現(xiàn)的內容，將它們集成到CI/CD管道中。這是評估工具的賭注。但是，更有價值的是在CI/CD管道中包括對問題的自動修復。該工具無需等待人工完成并驗證該漏洞的修補程序，而是自動執(zhí)行此操作并將結果報告給票務系統(tǒng)。這使開發(fā)人員不必花時間解決常見問題。

4.用于計劃的生產(chǎn)前評估的自動化漏洞黑客工具包公司通常會雇用白帽黑客在其生產(chǎn)前環(huán)境中進行即時滲透測試。一種更現(xiàn)代的方法是部署一個工具箱，該工具箱連續(xù)執(zhí)行相同的黑客活動。使用這種工具包不僅成本效益更高，而且還可以不間斷地查找和修復漏洞。

當自動修復可能不合適時自動修復某些安全問題并不總是合適的。相反，最好是該工具僅發(fā)現(xiàn)問題并發(fā)出警報，讓人們決定如何解決問題。例如，在需要加密密鑰的情況下（例如，對于數(shù)據(jù)庫以及對于需要用戶交互的配置（例如，選擇VPC或IAM規(guī)則）），自動修復通常是不合適的。當修復程序需要更改客戶專有代碼庫中的現(xiàn)有代碼邏輯時，這也不適當。

但是，某些工具確實有助于處理不安全的代碼。所有安全自動化工具中都沒有發(fā)現(xiàn)的一項有用功能是識別錯誤代碼以及有關如何使用安全代碼修復它的建議。在預生產(chǎn)階段查看推薦的代碼修復程序有助于快速解決問題，而不會浪費時間研究為什么代碼會帶來麻煩。開發(fā)人員開始專注于他們的應用程序，而安全團隊則確保持續(xù)的安全驗證。

其他云服務商：Rackspace CloudRackspace（NYSE：RAX）全球三大云計算中心之一，1998年成立，是一家全球領先的托管服務器及云計算提供商，公司總部位于美國，在英國，澳大利亞，瑞士，荷蘭及香港設有分部。在全球擁有10個以上數(shù)據(jù)中心，管理超過10萬臺服務器。Rackspace的托管服務產(chǎn)品包括專用服務器，電子郵件，SharePoint，云服務器，云存儲，云網(wǎng)站等。在服務架構上提供專用托管，公有云，私有云及混合云。

谷歌云Google Cloud Platform是Google的云服務提供商。該平臺使用戶能夠使用Google提供的模塊化Web服務創(chuàng)建業(yè)務解決方案。它提供各種服務，包括IaaS和PaaS解決方案。借助Google Cloud的多層安全基礎架構，用戶可以放心，您構建，創(chuàng)建，編碼或存儲的任何內容都將受到保護。這是通過對透明度的承諾和訓練有素的工程師團隊來實現(xiàn)的。Google Cloud提供了多種工具來確保一致的性能和管理。其中包括計算引擎，App Engine，容器引擎，云存儲和大查詢。Google還提供靈活定價的平滑遷移到虛擬機。