DEVSECOPS 所面临的挑战
敏捷开发和 DevOps 方法的出现使软件开发的速度与质量都有所提升,但它们不经意地也为安全机构增压不少。从前的安全策略是基于静态数据的,而在产品上线前才应用这些策略,或手动调整规则,会使设定策略的时间非常紧张,从而影响到发布产品的质量,增加出错的风险,拖慢整个 DevOps 周期。同时,使用 DevOps 配置工具来设定安全策略,也会使公司暴露于风险之中,因为这些工具都缺少临界控制,同时无法集成到安全架构的其他部分中去。
CLOUDPASSAGE 公司的 HALO CloudPassage® Halo® 则可以解决这些困难。它为安全团队和 DevOps 团队提供了一个敏捷的、安全的合规平台。这个平台可以跨越任何云以及虚拟设施开展工作,包括公有云、私有云、混合云、多重云、以及虚拟数据中心,甚至还包括裸机。这是一个独一无二的平台,用户可以在平台上不间断的观察并管理自己的系统。因此,这个平台支持立即响应和快速部署,同时也是完全自动化的。平台规模也可大可小。Halo 平台提供安全自动化的解决方案,并可与 Chef、Puppet 和 Ansible 这类配置工具相整合。
现在,安全可以参与到 DevOps 周期中去了,从开发、测试、到产品上线,并且毫不影响 DevOps 原有的速度与敏捷性。现在,安全策略的制定基于应用的逻辑组合,而不再是静态网络参数了,这自动保护了新的负载。通过这种方式,用户可以在开发阶段就应用多层保护策略,而不必等到最后时刻。
CloudPassage Halo 的用户通过一个简单的交互界面,就可以全方位观察他们的系统。这些软件如此轻量级,且完全无干扰,因此可以被部署到任何服务器实例,任何地方。软件的部署是通过配置工具来完成的,支持手动或使用脚本部署,即便是部署在运行中的系统里,也无需重启系统。通过 Halo,您可以管理动态负载防火墙、接收关键安全事件报告、检测到所有系统中新发现的安全漏洞、发现错误的配置、同时当负载被篡改时收到告警。
产品特性
- 配置安全监控:几秒钟之内即可基于最新的配置策略完成对新的和被重新激活的服务器的评估,几乎不占用 CPU 。 Halo 可自动监控操作系统和应用的配置、进程、网络服务和用户权限等等。
- 多重网络身份验证:隐藏服务器端口使其更加安全,同时允许授权用户有需要时临时访问服务器。对于远程网络访问,无需额外的软件或设置,Halo 自带双重验证功能(通过向手机发送 SMS,或使用 YubiKey®)。
- 软件漏洞评估:几分钟之内就完成对大量服务器配置点的扫描,时刻观察服务器是否暴露。在您的所有云环境中,Halo 可自动检测出软件包的漏洞。
- 动态负载防火墙管理:可在任何云环境轻松部署并管理动态防火墙规则。通过一个简单的 Web 界面建立防火墙规则,然后分配到各组服务器。当增减服务器、更改 IP 地址时,防火墙规则可自动更新。
- 文件完整性监测:持续监控您的云服务器,保护重要的系统二进制文件和配置文件不会受到未经授权的或恶意的变更。Halo 首先会记录下云服务器系统的“清洁”状态,作为基准。接着它会定期扫描各个服务器实例,将扫描结果与基准比对。任何不一致都会被记录下来,并报告给相关的管理员。
- 服务器访问管理:轻松识别无效和过期账号。Halo 帮您了解各个账号可访问的服务器、账号的操作权限以及账号的使用记录。您可以通过一个在线管理控制台,监控所有的云服务器。
- 事件记录与告警:轻易管理并检测一系列事件及系统状态。有了 Halo,您可以定义哪些事件值得记录或告警、事件的严重程度、以及接收告警的人员名单。
配置工具服务
CloudPassage Halo 旨在建立一个抽象化、自动化、可与配置工具集成、自动扩展并且支持 API 的平台,这些都是保护动态云设施所必备的基本要素。客户可通过 Halo 的界面或其他流行的配置工具,完全自动地实现安全策略设定。
可集成性
CloudPassage Halo 平台支持开放的、RESTful API,因此可以轻松与多种安全和操作解决方案相集成。 欢迎登录我们的网站,查看最新的已完成的集成测试名单。
原文地址:http://note.youdao.com/share/web/file.html?id=458a50c56f02096a6d24f9e3d0e94c5c&type=note