Coalfire公司技術網絡服務副總裁Michael Pitcher最近在雲計算安全聯盟舉辦的美國聯邦峰會上發表了題為“雲中持續監控/持續診斷和緩解(CDM)概念”的演講報告。隨著美國政府部門將其工作開始遷移並將繼續遷移到雲端,在這種環境中實現持續的監測目標變得越來越重要。具體而言,雲計算可以是高度動態的,缺乏持久性,因此用於內部部署解決方案的傳統連續監控方法並不能總是在雲端使用。
雲計算服務可以動態分配、使用和取消分配資源,以滿足高峰需求。幾乎任何系統都需要比其他系統更多的資源,而云計算允許計算、存儲和網絡資源隨著這種需求而擴展。例如Coalfire公司提供了一個安全解析工具(Sec-P),可以通過計算資源處理丟棄到雲存儲桶中的漏洞評估文件。計算資源僅在處理文件時存在幾秒鐘,然後被拆解。諸如此類的示例以及無服務器架構挑戰了傳統的連續監視方法。
但是,潛在的解決方案在那裡,包括:
•採用內置服務和第三方工具
•部署代理
•利用基礎設施作為代碼(IaC)審核
•使用抽樣進行驗證
•開發自定義方法
採用內置服務和第三方工具
部署代理
對於以前的示例中的Coalfire Sec-P工具這樣的資源,它在90%以上的時間裡作為代碼存在,人們需要以不同的方式思考。代理方法可能不起作用,因為計算資源可能不會存在足夠長的時間甚至無法與主機連入,更不用說執行任何安全檢查。
基礎設施作為代碼審查
IaC用於部署和配置計算、存儲和網絡等雲計算資源。它基本上是一組“編程”基礎設施的模板。它不是雲計算的新概念,但云中環境變化的速度正在將IaC帶入安全焦點。
現在,人們需要考慮如何對構建和配置資源的代碼進行評估。如何做到這一點有很多工具和不同的方法。應用程序安全性並不是什麼新東西,當人們認為它是對基礎設施進行持續監控的一部分時,它必須重新檢查。好消息是IaC使用結構化格式和常用語言,如XML、JSON和YAML。因此,可以使用工具甚至編寫自定義腳本來執行審閱。這種結構化格式還允許對配置進行自動和持續監控,即使資源僅作為代碼存在而且不是應用。考慮使用資源的軟件是什麼也很重要,因為利用的軟件包必須包含沒有漏洞的最新版本。代碼應在更改時進行安全審核,因此可以持續監控已批准的代碼。
設置資產到期是在利用IaC的高DevOps環境中強制執行持續診斷和緩解(CDM)主體的一種方法。持續診斷和緩解(CDM)的目標是每72小時評估一次資產,因此人們可以在時間範圍內將它們設置為過期(因此被拆解,因此需要重建),以瞭解它們是否在使用經過批准的代碼構建的新基礎設施上。
採樣
採樣應與上述方法結合使用。在資產總數總是在變化的動態環境中,應該有一個堅實的團隊核心,可以通過傳統的主動掃描方式進行掃描。人們只需要接受無法掃描完整的庫存。與總資產相比,應該有更少的配置文件或“黃金圖像”。而這種想法是,如果人們在任何給定掃描中都能獲得至少25%的每個配置文件,那麼很有可能將找到同一配置文件的所有資源上存在的所有錯誤配置和漏洞,或識別資產遷移。這足以識別系統性問題,例如錯誤的部署代碼或使用過時軟件創建的資源。如果人們在配置文件中查找與同一配置文件中的其他配置文件存在較大差異的資源,則表明需要解決的DevOps或配置管理問題。在這裡,並沒有放棄擁有完整庫存的概念,只能接受確實沒有這樣的事實。
專門為執行安全測試而構建IaC資產也是一個很好的選擇。這些資產可以具有持久性並“註冊”到持續監控解決方案中,以通過儀表板或其他方式以類似於本地設備的方式報告漏洞。而漏洞總數是在這些樣本資產上找到的數量乘以應用那些資產的數量。如上所述,人們可以從雲計算服務商提供的服務或第三方工具中獲取。
自定義方法
如今,有許多不同的雲計算服務商可用於無限的基於雲計算的可能性,並且所有云計算服務商都有各種服務和工具可供他們使用。這裡所評論的是高級概念,但每個客戶都需要根據其用例和目標瞭解詳細信息。
閱讀更多 企業網D1Net 的文章
