Coalfire公司技术网络服务副总裁Michael Pitcher最近在云计算安全联盟举办的美国联邦峰会上发表了题为“云中持续监控/持续诊断和缓解(CDM)概念”的演讲报告。随着美国政府部门将其工作开始迁移并将继续迁移到云端,在这种环境中实现持续的监测目标变得越来越重要。具体而言,云计算可以是高度动态的,缺乏持久性,因此用于内部部署解决方案的传统连续监控方法并不能总是在云端使用。
云计算服务可以动态分配、使用和取消分配资源,以满足高峰需求。几乎任何系统都需要比其他系统更多的资源,而云计算允许计算、存储和网络资源随着这种需求而扩展。例如Coalfire公司提供了一个安全解析工具(Sec-P),可以通过计算资源处理丢弃到云存储桶中的漏洞评估文件。计算资源仅在处理文件时存在几秒钟,然后被拆解。诸如此类的示例以及无服务器架构挑战了传统的连续监视方法。
但是,潜在的解决方案在那里,包括:
•采用内置服务和第三方工具
•部署代理
•利用基础设施作为代码(IaC)审核
•使用抽样进行验证
•开发自定义方法
采用内置服务和第三方工具
部署代理
对于以前的示例中的Coalfire Sec-P工具这样的资源,它在90%以上的时间里作为代码存在,人们需要以不同的方式思考。代理方法可能不起作用,因为计算资源可能不会存在足够长的时间甚至无法与主机连入,更不用说执行任何安全检查。
基础设施作为代码审查
IaC用于部署和配置计算、存储和网络等云计算资源。它基本上是一组“编程”基础设施的模板。它不是云计算的新概念,但云中环境变化的速度正在将IaC带入安全焦点。
现在,人们需要考虑如何对构建和配置资源的代码进行评估。如何做到这一点有很多工具和不同的方法。应用程序安全性并不是什么新东西,当人们认为它是对基础设施进行持续监控的一部分时,它必须重新检查。好消息是IaC使用结构化格式和常用语言,如XML、JSON和YAML。因此,可以使用工具甚至编写自定义脚本来执行审阅。这种结构化格式还允许对配置进行自动和持续监控,即使资源仅作为代码存在而且不是应用。考虑使用资源的软件是什么也很重要,因为利用的软件包必须包含没有漏洞的最新版本。代码应在更改时进行安全审核,因此可以持续监控已批准的代码。
设置资产到期是在利用IaC的高DevOps环境中强制执行持续诊断和缓解(CDM)主体的一种方法。持续诊断和缓解(CDM)的目标是每72小时评估一次资产,因此人们可以在时间范围内将它们设置为过期(因此被拆解,因此需要重建),以了解它们是否在使用经过批准的代码构建的新基础设施上。
采样
采样应与上述方法结合使用。在资产总数总是在变化的动态环境中,应该有一个坚实的团队核心,可以通过传统的主动扫描方式进行扫描。人们只需要接受无法扫描完整的库存。与总资产相比,应该有更少的配置文件或“黄金图像”。而这种想法是,如果人们在任何给定扫描中都能获得至少25%的每个配置文件,那么很有可能将找到同一配置文件的所有资源上存在的所有错误配置和漏洞,或识别资产迁移。这足以识别系统性问题,例如错误的部署代码或使用过时软件创建的资源。如果人们在配置文件中查找与同一配置文件中的其他配置文件存在较大差异的资源,则表明需要解决的DevOps或配置管理问题。在这里,并没有放弃拥有完整库存的概念,只能接受确实没有这样的事实。
专门为执行安全测试而构建IaC资产也是一个很好的选择。这些资产可以具有持久性并“注册”到持续监控解决方案中,以通过仪表板或其他方式以类似于本地设备的方式报告漏洞。而漏洞总数是在这些样本资产上找到的数量乘以应用那些资产的数量。如上所述,人们可以从云计算服务商提供的服务或第三方工具中获取。
自定义方法
如今,有许多不同的云计算服务商可用于无限的基于云计算的可能性,并且所有云计算服务商都有各种服务和工具可供他们使用。这里所评论的是高级概念,但每个客户都需要根据其用例和目标了解详细信息。
閱讀更多 企業網D1Net 的文章
