在本地数据中心和云应用,早期的应用程序开发人员的角色,基础设施操作和安全在很大程度上是孤立的。在云中,这对创新劳动分工提高了上市时间,降低了生产率,并邀请不必要的风险。
在数据中心环境中,开发人员构建软件应用,IT团队构建运行这些应用程序所需的基础设施和安全团队负责确保应用程序和基础设施是安全的。开发人员必须构建软件的约束内底层基础设施和操作系统,和安全流程要求每个人都能跑多快。当安全在生产中发现了一个漏洞,修复过程一般包括所有利益相关者和相当大的返工。
通过释放团队的物理约束的数据中心,云计算将是最大的IT行业几十年的转变。但是花了几年的时间组织开始解锁云的真正潜力作为一个平台来构建和运行应用程序,而不是使用它作为承载平台第三方应用程序或数据中心的迁移。云时使用,只是作为一个“远程数据中心”,典型的劳动分工进行,和云是未实现的潜力。
但是转移到使用云作为一个平台来构建和运行应用程序破坏安全的方式深刻。从云客户的角度来看,像亚马逊网络服务(AWS)平台,微软Azure和谷歌云软件,100%和开发者现在编程的创建和管理他们的云基础设施的一个组成部分的应用程序。这意味着开发人员来设计他们的云架构和重要设置安全配置和然后不断改变它们。
一个组织的机会
这种转变是一个巨大的机会组织操作在高度竞争的行业,因为应用程序和云团队可以创新速度远远超过他们可以在一个数据中心。但它提出了一个严峻的挑战的团队需要确保安全的日益复杂和高度动态的云计算环境。
今天的唯一有效方法云安全是通过让开发人员构建在云计算和操作工具,帮助他们安全地进行。未能这样做使得团队如何快速安全的病原因素在云中,如何成功的数字转换。
为了理解这意味着什么让开发人员在云安全,我们需要定义我们所说的开发人员。这是一个广泛的伞,涵盖了不同的角色,包括:
- 云中的应用程序开发人员构建和利用本地应用程序的云服务作为整体组件。在这个模型中,应用程序和基础设施是任意的和之间的界限模糊,如果不是完全消失。
- 云工程师(即。,devops) who use infrastructure as code (IaC) to program the configuration, deployment, and management of cloud infrastructure environments and deliver that infrastructure to application developers.
- 云安全工程师使用政策代码(PaC)安全与合规政策表达语言,其他应用程序可以使用它来验证安全自动和出售这些PaC库团队在整个组织。
无论他们的工作描述,控制云计算基础设施本身因为云的开发人员完全是软件定义的。当他们构建应用程序在云中,他们也使用IaC构建应用程序的基础设施,和开发人员自己的这一过程。
安全与合规政策的代码
这意味着安全团队的角色已经演变成为领域专家传授知识和规则的开发人员,以确保他们在一个安全的工作环境。而不是以人类语言表达这些规则为他人理解和解释,他们使用PaC,检查其他不必要的代码和运行环境条件。PaC赋予所有云利益相关者安全地操作没有模棱两可或分歧的规则以及如何应用它们两端的软件开发生命周期(SDLC)。金博宝188手机网页
让云安全的组织对冠军的怀抱DevSecOps模型,使开发人员能够确保应用程序部署后的安全。IDC预测越来越多的开发人员(超过4300万到2025年)将发现自己完全负责持续的性能和安全性的代码一旦运行。
在相当长的一段时间内,应用程序都涉及一个SDLC,包括创建、测试、部署和监控阶段。运动“左移位”应用程序安全性产生了显著的ROI的速度、生产力,和安全,因为它是更容易,更快,更安全的在生命周期的早期修复问题。采用IaC,云基础设施现在有自己的SDLC,这意味着云安全也可以,而且应该,在部署前阶段。
云安全的主要关心的是错误配置,但重要的是要认识到,错误配置是任何在您的云环境证明无效的阻止黑客。我们最熟悉的单资源错误配置往往强调新闻报道的云漏洞,如离开危险端口或使公众开放访问对象存储服务。但错误配置也涉及整个研究架构的错误配置的漏洞给攻击者的力量发现,运动,和数据提取。
每个主要的云违反涉及利用这些设计缺陷在云环境或控制平面妥协。控制平面配置和运营云的API表面。例如,您可以使用控制层面构建一个容器,修改网络路由和访问数据库中的数据或数据库的快照。(访问快照比闯入流行黑客生活生产数据库)。换句话说,该API控制飞机的集合API用于配置和运营云。
云计算api驱动。他们消除要求固定架构在一个集中的数据中心。api也意味着攻击者不需要荣誉系统和周围的任意边界,企业建立数据存储在本地数据中心。同时识别和修正这些错误配置是一个优先级,要知道配置错误只是一个手段攻击者的终极目的:控制平面妥协。云这发挥了核心作用在每一个重要突破。
让开发人员安全的云
让开发人员能够找到并修复云配置错误当开发IaC至关重要,但同样重要的是给他们他们需要的工具来设计云架构,对当今的固有的安全控制飞机袭击妥协。
有五个步骤,任何组织都可以有效地使开发人员操作安全云:
- 理解您的云环境和SDLC。安全工程师团队应该嵌入应用程序和devops团队理解一切的运行,如何配置,如何开发和部署,更改时发生。你应该知道应用程序与云资源相关联,以及任何数据和如何使用它。想一个黑客识别风险控制平面妥协。
- 优先考虑安全设计,防止错误配置。控制平面妥协一次攻击正在进行中,通常太晚来阻止它。有效的云安全需要预防的条件使这些攻击成为可能。烤安全在整个云SDLC之前捕获错误配置部署,并专注于设计本身安全的环境的架构。
- 让开发者工具,引导他们在安全。开发人员快速移动,任何安全工具需要他们的工作方式,如果我们希望收养而不影响速度。云安全工具应该为开发人员提供有用的、可操作的安全问题以及如何纠正反馈迅速,这样他们就可以继续他们的工作。
- 采用政策作为云安全的代码。PaC可以帮助安全团队规模与资源的努力,让所有的利益攸关方云安全地操作没有任何歧义或分歧的规则是什么,应该如何应用它们。它使所有团队在一个的事实来源政策,消除人为错误在解释和运用政策,使安全自动化(评估、执行等)在SDLC的每一个阶段。
- 专注于测量和过程改进。云安全与其说是邪恶的入侵检测和监视网络活动和更多关于改善云安全,防止利用过程的发生。成功的云团队不断得分的风险环境以及开发人员的生产力和安全团队,应该改善体力,容易出错的任务自动化。
开发人员在最好的位置(通常是唯一的)来确保他们的代码部署之前,保持其安全完整性在运行和更好地理解特定的地方提供修复的代码。但它们也是人类容易错误操作的世界里不断的试验和失败。自动化构建在PaC消除人为错误的风险通过自动化的过程中不断寻找和捕捉错误之前部署。
组织拥抱云安全的开发商第一方法将创新比竞争对手更快、更安全。
乔什·斯特拉是副总裁兼首席架构师Snyk云安全技术权威。Josh带来了25年的创始CEO和安全知识赋格曲亚马逊网络服务的主要解决方案架构师,美国情报部门和顾问。杰克的个人使命是帮助组织了解云配置新的攻击表面和公司需要从防守如何预防姿势来确保他们的云基础设施。他写的第一本书不可变的基础设施(发表的O ' reilly),拥有众多的云安全技术专利,并举办大师班教育云安全系列。与杰克在LinkedIn。
- - - - - -
新的科技论坛提供了一个场所来探索和讨论新兴企业技术以前所未有的深度和广度。选择是主观的,根据我们的选择我们认为很重要的技术和信息世界”最感兴趣的读者。信息世界不接受营销抵押品出版和有权编辑所有贡献内容。发送所有的调查newtechforum@infoworld.com。