容器和云中的配置錯誤:風(fēng)險和修復(fù)

責(zé)任編輯:cres

作者:Harris編譯

2020-03-09 13:11:55

摘自:機房360

在DevOps中快速行動可能會造成安全漏洞,直到災(zāi)難來襲之前,這些漏洞才可能被忽略。

在DevOps中快速行動可能會造成安全漏洞,直到災(zāi)難來襲之前,這些漏洞才可能被忽略。
 
急于轉(zhuǎn)型的組織可以從短暫的停頓中獲益,以避免可能造成意外的、未被注意到的曝光的錯誤配置。目前的趨勢是企業(yè)與DevOps一起發(fā)展,以加快部署速度。這種倉促可能導(dǎo)致安全漏洞,否則可能會在途中被抓到。StackRox和Packet的專家分析了一些錯誤配置的信號,以及組織如何解決這些問題。
 
Kubernetes安全平臺提供商StackRox的營銷副總裁Michelle McLean說,許多DevOps團隊的思想和使命是快速推出代碼,以使他們的組織更加敏捷。她說,“這并不意味著開發(fā)人員不關(guān)心安全性或故意疏忽大意。然而,這并不總是他們首先想到的事情。”
 
McLean是StackRox最新的《容器和Kubernetes安全性狀況報告》的作者。她說,安全性已經(jīng)在基礎(chǔ)設(shè)施中以多種方式變得更加固有,這為開發(fā)周期帶來了新的方法。McLean說,“以前在構(gòu)建代碼之后就開始運營,而現(xiàn)在需要弄清楚如何確保它的安全。”
 
她說,在DevOps時代,這種順序被顛覆了,周期的不同部分有時會重疊并造成盲點。McLean說:“所有這些現(xiàn)在都混合在一起,并在相似的時間框架內(nèi)發(fā)生。”當(dāng)任務(wù)是快速行動時,快速發(fā)布代碼,可能會遺漏一些內(nèi)容。”
 
云計算提供商Packet公司聯(lián)合創(chuàng)始人Jacob Smith說,配置錯誤的問題與DevOps的旅程緊密相關(guān)。他說,這源于如何通過DevOps自動化與IT管理來部署容器。Smith說:“這是一個不同的工作流程,最大的弱點之一是網(wǎng)絡(luò)策略。問題很容易遺漏,因為隨著基礎(chǔ)設(shè)施變得越來越多樣化并遷移到云中,配置的規(guī)模也越來越大。”
 
Smith說,來自RedHat、Rancher或VMware的支持工具集可以監(jiān)視和改善可見性,因此開發(fā)人員可以知道哪些容器可以連接到什么容器。他說,容器的相對新穎和快速發(fā)展已成為企業(yè)的當(dāng)務(wù)之急,這對開發(fā)人員來說是一個挑戰(zhàn)。Smith說:“發(fā)生的事情太多了,而且變化很快。那是造成混亂的原因;很多剛接觸它的人都會感覺到緊張。DevOps領(lǐng)域的這一部分在過去兩年中迅速成熟,似乎在一夜之間出現(xiàn)了新的需求。”
 
Smith說:“每個人都必須制定服務(wù)網(wǎng)格策略,盡管18個月前還不存在。安全是潛在后果的明顯領(lǐng)域,但是由于配置錯誤而導(dǎo)致的業(yè)務(wù)效率低下也可能代價高昂。例如,可能有一個容器可能無法控制服務(wù)器的情況下,資源分配失控。那是不應(yīng)該做的一件事。”
 
McLean強調(diào)的關(guān)鍵錯誤配置問題之一是,并非默認(rèn)情況下總是打開所有安全控件。她說,“有了容器和Kubernetes,仍然可以學(xué)習(xí)到許多具有復(fù)雜基礎(chǔ)設(shè)施的運動部件。假設(shè)開發(fā)人員將在某個時候啟用安全控制。”
 
唯一提供獨家研究結(jié)果,動手研討會,案例研究,20個小時以上的聯(lián)網(wǎng)以及最大的以數(shù)據(jù)中心為中心的展覽廳的行業(yè)盛會。
 
McLean建議尋找某些難以找到的元素,例如資源是否為只讀或是否可以寫入。檢查是否啟用了基于角色的訪問控制。她說:“這類似于擁有可寫的容器。如果有人獲得了在Kubernetes級別進行更改的許可,將面臨風(fēng)險。如果可以進入Kube,就可以進入所有資產(chǎn)。”
 
McLean說,隨著越來越多的企業(yè)將他們開發(fā)的新應(yīng)用程序容器化,這種類型的曝光的可能性很可能會增加。她說:“很可能這些是企業(yè)一些最重要的業(yè)務(wù)必備應(yīng)用程序。這些應(yīng)用程序可能還會保留客戶數(shù)據(jù)。這容易犯錯誤。組織應(yīng)該幫助開發(fā)人員做正確的事。”

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號