x

【应用安全】DevOps,API,容器和微服务的安全策略

Chinese, Simplified
SEO Title
Security Strategies for DevOps, APIs, Containers and Microservices

越来越多的IT专业人士看到DevSecOps是一种在开发过程早期集成安全措施以提高生产代码质量的实践,是未来应用程序开发的主要支柱。
其中很大一部分源于通过采用DevOps,容器和微服务的架构以及支持自动化工具链和框架来加速应用程序开发的趋势。这一趋势为网络犯罪分子提供了机会,他们越来越关注这些类型环境中的安全漏洞和漏洞。鉴于当今的开发速度和体积以及更大的环境复杂性,将DevSecOps作为优先事项从未如此重要。
无论您的角色是CISO,开发人员,安全架构师,运营工程师还是DevOps团队的其他成员,了解如何在这些新环境中采取主动和预防性的应用程序安全性方法非常重要。特别是,这意味着关注:

  1. 使用API​​保护环境
  2. 实施持续安全
  3. 采用不断发展的安全实践
  4. 保护敏感数据
  5. 维护应用程序漏洞的当前最佳实践

继续阅读以了解有关这五种安全策略的更多信息。

#1:了解如何使用API​​将应用程序安全性部署到环境中


Web应用程序防火墙(WAF)解决方案对于现代应用程序环境变得更加重要,因为它们添加了专门的安全功能,补充了API网关等组件,这些组件本身只执行此过滤的基本功能。为了确保API安全性,需要使用WAF解决方案来检查传入和传出的HTTP / HTTPS,就像使用任何其他Web应用程序一样,并提供诸如性能分析,阻止攻击,僵尸程序和DDoS保护,防止帐户接管等功能。在此处详细了解Imperva可以为API安全做些什么。
您的WAF还应该帮助保护新应用程序环境中的应用程序和数据,并在配置新服务或容器时随时自动部署。

#2:实施持续安全性


安全团队面临的挑战是开发安全软件,同时建立适当的安全实践,这些实践不会在开发过程中产生瓶颈并可能影响上市时间。这需要旨在轻松无缝集成到DevSecOps工作流程中的解决方案。

连续,自动化的安全性


DevOps通常使用称为持续实施 - 持续部署(CI-CD)的实践(图1),它将开发和启动过程紧密结合在一起,以推出功能和应用程序。从安全角度来看,这意味着管理WAF解决方案的操作方面应该是自动化和模板化的,这样可以轻松扩展您的安全性。因此,无论您是启动新服务器,部署新应用程序,还是将现有服务从一台服务器移动到另一台服务器,都会自动部署链接到该服务的安全策略和配置层。
安全解决方案的可编程性有助于自动扩展,并支持在部署新应用程序和微服务时快速部署安全资源。在集成安全解决方案时,利用AWS Cloud Formation或Microsoft Azure Resource Manager(ARM)等云特定模板可以是在云环境中实现此类自动扩展的一种方法。

devops CI_CD Process example

图1:持续集成 - 持续开发(CI-CD)的过程是DevOps中常用于构建和部署应用程序的互锁工作流程

#3:坚持继续发展的安全解决方案


除非您使用的安全解决方案也在不断发展以跟上新的应用程序环境和工具,否则很难实现以前的策略并继续发展您的安全立场。
例如,现代应用程序方法和基础架构(包括DevOps,API,微服务,公共云,容器等)需要安全解决方案,旨在提供:

  1. 高可用性:您的所有解决方案都应通过允许您的组织保护敏感Web应用程序而不会引入过多的IT开销或阻止合法的Web流量来确保稳定的业务连续性。
  2. 集成:选择支持DevOps中使用的适当的自动化工具链和其他编排技术的安全解决方案,以便在部署新的应用程序,实例和容器时,安全功能可以随时随地自动实现。这通常需要通过支持DevOps工作流,云部署和编排的API来暴露功能。
  3. 功能/功能奇偶校验:您的解决方案应该与应用程序是否跨公共云和私有云,容器或内部部署无关。这使您可以在不影响安全性的情况下将传统开发过渡到敏捷DevOps。
  4. 集中管理:从单一管理控制台管理内部部署和云网关,以整合和简化混合云部署的安全性。


#4:保护您的数据


虽然DevSecOps的大部分重点都放在应用程序和基础架构上,但不要忽视数据。随着应用程序和基础架构变得更加分散,数据安全性变得更加重要,其复杂的相互依赖性可能跨越服务,API,容器和云。
在这个日益复杂的应用程序生态系统中保护数据的一种方法是使用以数据为中心的审计和保护(DCAP)解决方案。 DCAP解决方案通过实时监控,审计以及安全和权限管理,帮助您保护数据库,文件存储和大数据存储库中的数据。
使用DCAP解决方案,您可以:

  1. 实时分析所有数据库活动。您可以监控访问数据库的所有用户,无论是通过浏览器,移动应用程序还是桌面应用程序。
  2. 采取措施避免危害和数据丢失,例如根据安全策略阻止对敏感数据的访问。

#5:继续做你正在做的事


虽然应用程序开发和体系结构实践正在发生变化,但相同的Web安全漏洞仍然会威胁到DevOps环境,因此金标准安全最佳实践仍然具有相关性。如果暴露API,您的攻击面可能会更大,因为代码可能更频繁地部署 - 包括您堆栈中可能存在的第三方软件和服务,这会增加您引入漏洞的风险和速度。
出于所有这些原因,您的组织应继续关注:

  1. 通过强化基础架构和服务来减少攻击面
  2. 通过加密静态通信和数据来确保机密性
  3. 实施细粒度访问控制
  4. 过滤恶意软件并阻止已知的错误流量
  5. 监控和检测异常行为以防止所有类型的攻击,包括:分布式拒绝服务(DDoS),滥用功能,访问冲突,利用等等
  6. 使用日志记录和分析审核访问和事件

将安全性集成到您的工作流程中


今天的应用程序,服务和API是寻求访问您的环境的网络犯罪分子的有吸引力的目标。管理和保护新的应用程序生态系统需要应用与过去相同的安全最佳实践,还需要使用为处理当今环境而构建的解决方案。


要了解有关Imperva解决方案如何集成到您的DevSecOps工作流程的更多信息,请下载我们的电子书:“DevOps,API和微服务的五种安全策略”。

原文:https://www.imperva.com/blog/security-strategies-for-devops-apis-containers-and-microservices/

本文:http://pub.intelligentx.net/security-strategies-devops-apis-containers-and-microservices

讨论:请加入知识星球或者小红圈【首席架构师圈】

Tags

Article
知识星球
 
微信公众号
 
视频号