雲原生3R原則、現代最小許可權與DevSecOps平臺建設 - octo
幾個月前,VMware 現代應用程式技術長 James Watters 在雲原生安全日上發表了一篇 引人入勝的演講,他稱之為“現代最小特權”。基本概念是在 整個 DevSecOps 生命週期中應用最小許可權原則來正確保護現代應用程式。
我想深入研究這個策略並在這裡分享我們的觀點。
現代應用程式比傳統應用程式更復雜——它們規模更大、變化更快、分佈更廣(即,沒有傳統的安全邊界)。雖然這似乎會使保護它們變得更加困難,但云原生開發空間中的許多創新如果得到適當利用,可以 透過自動化它們並使它們成為預設/簡單選項,從而使安全的許多方面 變得更容易。
3R原則
隨著行業在過去十年中採用雲原生應用程式,已經出現了一套明確的最佳實踐。這些最佳實踐之一被稱為 “3R” ( repair, repave, rotate) ——修復、重鋪、旋轉:
- 修復:在更新可用時立即修復易受攻擊的軟體。
- Repave:從已知的良好狀態重新修復伺服器和應用程式,經常做。
- 輪換:頻繁輪換系統憑據,因此它們僅在短時間內有用。
支援 3 R 的雲原生架構有幾個原則:
- 不變性:一旦部署了某些東西,就不應對其進行修改或重新配置。任何新程式碼、配置更改或任何其他更改都應該在原始碼管理中進行,並且應該部署一個新的、不可變的例項。最低許可權意味著部署後沒有任何更改。
- 短暫性:許多傳統應用程式都有可以存活數月或數年的元件或例項(例如,VM)。這為駭客提供了一個很大的機會來訪問該應用程式並利用該訪問許可權進行進一步的攻擊。根據合同,雲原生設計原則側重於臨時性和最小化例項存在的時間長度。Repaving 不斷減少駭客入侵系統的時間。最小特權意味著將駭客的機會視窗儘可能地接近於零。
- 臨時身份: 類似的原則適用於身份和秘密——你不希望任何長期存在的東西,因為這為駭客提供了利用這些憑據的機會。相反,您需要頻繁輪換憑證的自動化。最低特權再次意味著向零前進。
- 事件驅動的漏洞管理:如果你有一個完全自動化的 CI/CD 管道並且你有正確的漏洞管理工具,你可以連線它們,以便在發現漏洞和修復可用時,系統可以自動啟動重新部署。這變成了事件驅動的安全問題重鋪。全部自動化,無需人工參與!最小特權意味著將發現漏洞和修補漏洞之間的時間間隔儘可能地縮短到零。
- DevX 作為控制(Shift left + DevX): 提供出色的開發人員體驗意味著允許開發人員專注於他們的業務邏輯。開發人員應該考慮安全性,但理想情況下,DevSecOps 平臺只為他們處理大部分。即,安全控制儘可能地是內建的。最低許可權意味著在可能的情況下自動和透明地執行控制。
這些原則彙集在無伺服器應用程式中。無伺服器應用程式是不可變的、短暫的,並且首先使用 API。但是這些原則可以應用於微服務和許多其他型別的架構。
自動化3R
任意數量的事件都可以觸發Repave重鋪。它可能是檢查新程式碼的開發人員、進行配置更改的站點可靠性工程師 (SRE),或者檢測漏洞並自動應用修復程式的安全系統。
在所有情況下,它都是相同的標準和安全流程。事實上,當您在自動化之上構建更高階的策略時,您可以開始做一些很酷的事情。例如,如果您的安全系統發現漏洞或配置錯誤,則可能會觸發重新部署。
但是它再次注意到該應用程式再次具有相同的漏洞或配置錯誤,它可以觸發對管理員的警報,因為這是一個更深層次或更微妙的安全問題。
這使自動化系統能夠處理大多數問題,並且只冒出非常重要的問題供人類調查。
最低許可權意味著讓自動化儘可能地完成工作。
那麼如何獲得 DevSecOps 平臺呢?需要一個整體且整合良好的解決方案。平臺必須具備:
- 具有安全性的應用程式框架
- API 服務和安全
- 安全的容器構建服務
- 應用服務
- L7 應用網路和安全
- Kubernetes 策略和生命週期管理,直至作業系統
相關文章
- Linux使用者與“最小許可權”原則Linux
- 基礎知識6——安全和最小許可權原則
- WinXP中設定NTFS許可權基本策略和原則
- Android平臺targetSdkVersion設定及動態許可權Android
- 雲原生架構及設計原則架構
- Serv-U許可權設定規則
- 基於 Kubernetes 的雲原生 AI 平臺建設AI
- 自動化平臺中的ORM和許可權設計ORM
- DB2最小化許可權管理實現方案DB2
- 淺談許可權管理的設計與實現
- 如何用 Vue 實現前端許可權控制(路由許可權 + 檢視許可權 + 請求許可權)Vue前端路由
- 適配懸浮窗許可權與系統設定修改許可權
- 安卓gm版手遊平臺 gm許可權手遊平臺哪個好安卓
- gm手遊平臺代理 包站免費許可權gm遊戲平臺遊戲
- 雲音樂輿情平臺建設雲音樂輿情平臺建設
- 協同平臺檢視許可權開啟業務物件提示"當前使用者沒有許可權!請檢查使用者[BOS設計器]的[編輯]許可權與應用的編輯許可權!"物件
- 測試平臺-flask_admin+mongoEngine 實現資料許可權FlaskGo
- 基於.NET 5實現的開源通用許可權管理平臺
- DRF內建許可權元件之自定義許可權管理類元件
- Shiro多專案許可權集中管理平臺
- .NET 平臺 WPF 通用許可權開發框架 (ABP)框架
- 系統最小的服務最小的許可權最大的安全。
- 選單許可權和按鈕許可權設定
- Oracle內建角色connect與resource的許可權Oracle
- gm手遊盒子排行榜 手遊gm許可權平臺
- 阿里雲RDS的高許可權不是真正的高許可權阿里
- 360°透視:雲原生架構及設計原則架構
- 貨拉拉一站式雲原生AI平臺建設實踐AI
- AI雲平臺建設意義AI
- gm手遊公益平臺 免費gm許可權手遊平臺有哪幾個
- win10 建資料夾許可權方法 如何設定windows10檔案許可權Win10Windows
- Atitit godaddy 檔案許可權 root許可權設定Go
- 許可權系統:許可權應用服務設計
- 如何設定許可權?
- 雲端計算平臺的設計原則
- Oracle的物件許可權、角色許可權、系統許可權Oracle物件
- Django(63)drf許可權原始碼分析與自定義許可權Django原始碼
- LR.Net低程式碼開發平臺 快速設計許可權管理模組