精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

當(dāng)前位置:云計算技術(shù)專區(qū) → 正文

云中的連續(xù)監(jiān)測

責(zé)任編輯:cres 作者:Michael Pitcher |來源:企業(yè)網(wǎng)D1Net  2018-07-12 13:19:28 原創(chuàng)文章 企業(yè)網(wǎng)D1Net

Coalfire公司技術(shù)網(wǎng)絡(luò)服務(wù)副總裁Michael Pitcher最近在云計算安全聯(lián)盟舉辦的美國聯(lián)邦峰會上發(fā)表了題為“云中持續(xù)監(jiān)控/持續(xù)診斷和緩解(CDM)概念”的演講報告。隨著美國政府部門將其工作開始遷移并將繼續(xù)遷移到云端,在這種環(huán)境中實現(xiàn)持續(xù)的監(jiān)測目標(biāo)變得越來越重要。具體而言,云計算可以是高度動態(tài)的,缺乏持久性,因此用于內(nèi)部部署解決方案的傳統(tǒng)連續(xù)監(jiān)控方法并不能總是在云端使用。
 
Coalfire公司參與了為各種機(jī)構(gòu)實施持續(xù)診斷和緩解(CDM)服務(wù),并且是最大的第三方評估機(jī)構(gòu)(3PAO),它開展了更多的FedRAMP授權(quán),能夠幫助客戶思考這一挑戰(zhàn)。但是,這些概念和挑戰(zhàn)并不是作為持續(xù)診斷和緩解(CDM)計劃一部分的政府機(jī)構(gòu)所獨有的,他們還將在其他政府和國防部社區(qū)以及商業(yè)實體進(jìn)行轉(zhuǎn)化。
 
美國國土安全部(DHS)持續(xù)診斷和緩解(CDM)計劃的第一階段主要側(cè)重于靜態(tài)資產(chǎn),并且大部分都排除了采用云計算。它以建立和了解庫存為中心,然后可以每隔72小時進(jìn)行一次掃描,其目標(biāo)是確定資產(chǎn)是否被授權(quán)在網(wǎng)絡(luò)上、正在被管理,以及是否安裝了易受攻擊和/或配置錯誤的軟件。隨著云計算成為下一輪持續(xù)診斷和緩解(CDM)計劃的一部分,了解如何適應(yīng)這些目標(biāo)的方法非常重要。
 
云計算服務(wù)可以動態(tài)分配、使用和取消分配資源,以滿足高峰需求。幾乎任何系統(tǒng)都需要比其他系統(tǒng)更多的資源,而云計算允許計算、存儲和網(wǎng)絡(luò)資源隨著這種需求而擴(kuò)展。例如Coalfire公司提供了一個安全解析工具(Sec-P),可以通過計算資源處理丟棄到云存儲桶中的漏洞評估文件。計算資源僅在處理文件時存在幾秒鐘,然后被拆解。諸如此類的示例以及無服務(wù)器架構(gòu)挑戰(zhàn)了傳統(tǒng)的連續(xù)監(jiān)視方法。
 
但是,潛在的解決方案在那里,包括:
 
•采用內(nèi)置服務(wù)和第三方工具
 
•部署代理
 
•利用基礎(chǔ)設(shè)施作為代碼(IaC)審核
 
•使用抽樣進(jìn)行驗證
 
•開發(fā)自定義方法
 
采用內(nèi)置服務(wù)和第三方工具
 
動態(tài)云計算環(huán)境強(qiáng)調(diào)執(zhí)行主動和被動掃描以構(gòu)建庫存的不足之處。在采用傳統(tǒng)掃描工具評估資產(chǎn)之前,除了可以監(jiān)控資源變化的服務(wù)之外,每個主要云計算服務(wù)提供商(CSP)和許多規(guī)模較小的云計算提供商都需要提供庫存管理服務(wù),例如AWS系統(tǒng)管理器庫存管理器和Cloud Watch,微軟的Azure資源管理器和活動日志,以及谷歌的資產(chǎn)庫存和云計算審計日志。還可以使用高質(zhì)量的第三方應(yīng)用程序,其中一些甚至已經(jīng)獲得FedRAMP授權(quán)。無論使用何種服務(wù)和工具,這里的關(guān)鍵是將它們與現(xiàn)有持續(xù)診斷和緩解(CDM)方案或連續(xù)監(jiān)控解決方案的集成層連接起來。這可以通過API調(diào)用進(jìn)出解決方案,這可以通過當(dāng)前的持續(xù)診斷和緩解(CDM)程序要求實現(xiàn)。
 
部署代理
 
對于具有一定程度持久性的資源,代理是執(zhí)行連續(xù)監(jiān)視的好方法。代理可以與主機(jī)一起檢查以維護(hù)庫存,并在資源啟動后執(zhí)行安全檢查,而不必等待掃描。代理可以作為構(gòu)建過程的一部分安裝,甚至可以作為部署映像的一部分。與控制代理并與庫存進(jìn)行比較的主節(jié)點連接是執(zhí)行基于云計算的不良資產(chǎn)檢測的一種很好的方式,這是持續(xù)診斷和緩解(CDM)的要求。本地使用的這個概念實際上是關(guān)于發(fā)現(xiàn)未經(jīng)授權(quán)的資產(chǎn),例如插入開放網(wǎng)絡(luò)端口的個人筆記本電腦。在云中,所有的問題都是從已經(jīng)批準(zhǔn)的配置中查找出不符合安全要求的資產(chǎn)。
 
對于以前的示例中的Coalfire Sec-P工具這樣的資源,它在90%以上的時間里作為代碼存在,人們需要以不同的方式思考。代理方法可能不起作用,因為計算資源可能不會存在足夠長的時間甚至無法與主機(jī)連入,更不用說執(zhí)行任何安全檢查。
 
基礎(chǔ)設(shè)施作為代碼審查
 
IaC用于部署和配置計算、存儲和網(wǎng)絡(luò)等云計算資源。它基本上是一組“編程”基礎(chǔ)設(shè)施的模板。它不是云計算的新概念,但云中環(huán)境變化的速度正在將IaC帶入安全焦點。
 
現(xiàn)在,人們需要考慮如何對構(gòu)建和配置資源的代碼進(jìn)行評估。如何做到這一點有很多工具和不同的方法。應(yīng)用程序安全性并不是什么新東西,當(dāng)人們認(rèn)為它是對基礎(chǔ)設(shè)施進(jìn)行持續(xù)監(jiān)控的一部分時,它必須重新檢查。好消息是IaC使用結(jié)構(gòu)化格式和常用語言,如XML、JSON和YAML。因此,可以使用工具甚至編寫自定義腳本來執(zhí)行審閱。這種結(jié)構(gòu)化格式還允許對配置進(jìn)行自動和持續(xù)監(jiān)控,即使資源僅作為代碼存在而且不是應(yīng)用。考慮使用資源的軟件是什么也很重要,因為利用的軟件包必須包含沒有漏洞的最新版本。代碼應(yīng)在更改時進(jìn)行安全審核,因此可以持續(xù)監(jiān)控已批準(zhǔn)的代碼。
 
設(shè)置資產(chǎn)到期是在利用IaC的高DevOps環(huán)境中強(qiáng)制執(zhí)行持續(xù)診斷和緩解(CDM)主體的一種方法。持續(xù)診斷和緩解(CDM)的目標(biāo)是每72小時評估一次資產(chǎn),因此人們可以在時間范圍內(nèi)將它們設(shè)置為過期(因此被拆解,因此需要重建),以了解它們是否在使用經(jīng)過批準(zhǔn)的代碼構(gòu)建的新基礎(chǔ)設(shè)施上。
 
采樣
 
采樣應(yīng)與上述方法結(jié)合使用。在資產(chǎn)總數(shù)總是在變化的動態(tài)環(huán)境中,應(yīng)該有一個堅實的團(tuán)隊核心,可以通過傳統(tǒng)的主動掃描方式進(jìn)行掃描。人們只需要接受無法掃描完整的庫存。與總資產(chǎn)相比,應(yīng)該有更少的配置文件或“黃金圖像”。而這種想法是,如果人們在任何給定掃描中都能獲得至少25%的每個配置文件,那么很有可能將找到同一配置文件的所有資源上存在的所有錯誤配置和漏洞,或識別資產(chǎn)遷移。這足以識別系統(tǒng)性問題,例如錯誤的部署代碼或使用過時軟件創(chuàng)建的資源。如果人們在配置文件中查找與同一配置文件中的其他配置文件存在較大差異的資源,則表明需要解決的DevOps或配置管理問題。在這里,并沒有放棄擁有完整庫存的概念,只能接受確實沒有這樣的事實。
 
專門為執(zhí)行安全測試而構(gòu)建IaC資產(chǎn)也是一個很好的選擇。這些資產(chǎn)可以具有持久性并“注冊”到持續(xù)監(jiān)控解決方案中,以通過儀表板或其他方式以類似于本地設(shè)備的方式報告漏洞。而漏洞總數(shù)是在這些樣本資產(chǎn)上找到的數(shù)量乘以應(yīng)用那些資產(chǎn)的數(shù)量。如上所述,人們可以從云計算服務(wù)商提供的服務(wù)或第三方工具中獲取。
 
自定義方法
 
如今,有許多不同的云計算服務(wù)商可用于無限的基于云計算的可能性,并且所有云計算服務(wù)商都有各種服務(wù)和工具可供他們使用。這里所評論的是高級概念,但每個客戶都需要根據(jù)其用例和目標(biāo)了解詳細(xì)信息。

關(guān)鍵字:云計算

原創(chuàng)文章 企業(yè)網(wǎng)D1Net

x 云中的連續(xù)監(jiān)測 掃一掃
分享本文到朋友圈
當(dāng)前位置:云計算技術(shù)專區(qū) → 正文

云中的連續(xù)監(jiān)測

責(zé)任編輯:cres 作者:Michael Pitcher |來源:企業(yè)網(wǎng)D1Net  2018-07-12 13:19:28 原創(chuàng)文章 企業(yè)網(wǎng)D1Net

Coalfire公司技術(shù)網(wǎng)絡(luò)服務(wù)副總裁Michael Pitcher最近在云計算安全聯(lián)盟舉辦的美國聯(lián)邦峰會上發(fā)表了題為“云中持續(xù)監(jiān)控/持續(xù)診斷和緩解(CDM)概念”的演講報告。隨著美國政府部門將其工作開始遷移并將繼續(xù)遷移到云端,在這種環(huán)境中實現(xiàn)持續(xù)的監(jiān)測目標(biāo)變得越來越重要。具體而言,云計算可以是高度動態(tài)的,缺乏持久性,因此用于內(nèi)部部署解決方案的傳統(tǒng)連續(xù)監(jiān)控方法并不能總是在云端使用。
 
Coalfire公司參與了為各種機(jī)構(gòu)實施持續(xù)診斷和緩解(CDM)服務(wù),并且是最大的第三方評估機(jī)構(gòu)(3PAO),它開展了更多的FedRAMP授權(quán),能夠幫助客戶思考這一挑戰(zhàn)。但是,這些概念和挑戰(zhàn)并不是作為持續(xù)診斷和緩解(CDM)計劃一部分的政府機(jī)構(gòu)所獨有的,他們還將在其他政府和國防部社區(qū)以及商業(yè)實體進(jìn)行轉(zhuǎn)化。
 
美國國土安全部(DHS)持續(xù)診斷和緩解(CDM)計劃的第一階段主要側(cè)重于靜態(tài)資產(chǎn),并且大部分都排除了采用云計算。它以建立和了解庫存為中心,然后可以每隔72小時進(jìn)行一次掃描,其目標(biāo)是確定資產(chǎn)是否被授權(quán)在網(wǎng)絡(luò)上、正在被管理,以及是否安裝了易受攻擊和/或配置錯誤的軟件。隨著云計算成為下一輪持續(xù)診斷和緩解(CDM)計劃的一部分,了解如何適應(yīng)這些目標(biāo)的方法非常重要。
 
云計算服務(wù)可以動態(tài)分配、使用和取消分配資源,以滿足高峰需求。幾乎任何系統(tǒng)都需要比其他系統(tǒng)更多的資源,而云計算允許計算、存儲和網(wǎng)絡(luò)資源隨著這種需求而擴(kuò)展。例如Coalfire公司提供了一個安全解析工具(Sec-P),可以通過計算資源處理丟棄到云存儲桶中的漏洞評估文件。計算資源僅在處理文件時存在幾秒鐘,然后被拆解。諸如此類的示例以及無服務(wù)器架構(gòu)挑戰(zhàn)了傳統(tǒng)的連續(xù)監(jiān)視方法。
 
但是,潛在的解決方案在那里,包括:
 
•采用內(nèi)置服務(wù)和第三方工具
 
•部署代理
 
•利用基礎(chǔ)設(shè)施作為代碼(IaC)審核
 
•使用抽樣進(jìn)行驗證
 
•開發(fā)自定義方法
 
采用內(nèi)置服務(wù)和第三方工具
 
動態(tài)云計算環(huán)境強(qiáng)調(diào)執(zhí)行主動和被動掃描以構(gòu)建庫存的不足之處。在采用傳統(tǒng)掃描工具評估資產(chǎn)之前,除了可以監(jiān)控資源變化的服務(wù)之外,每個主要云計算服務(wù)提供商(CSP)和許多規(guī)模較小的云計算提供商都需要提供庫存管理服務(wù),例如AWS系統(tǒng)管理器庫存管理器和Cloud Watch,微軟的Azure資源管理器和活動日志,以及谷歌的資產(chǎn)庫存和云計算審計日志。還可以使用高質(zhì)量的第三方應(yīng)用程序,其中一些甚至已經(jīng)獲得FedRAMP授權(quán)。無論使用何種服務(wù)和工具,這里的關(guān)鍵是將它們與現(xiàn)有持續(xù)診斷和緩解(CDM)方案或連續(xù)監(jiān)控解決方案的集成層連接起來。這可以通過API調(diào)用進(jìn)出解決方案,這可以通過當(dāng)前的持續(xù)診斷和緩解(CDM)程序要求實現(xiàn)。
 
部署代理
 
對于具有一定程度持久性的資源,代理是執(zhí)行連續(xù)監(jiān)視的好方法。代理可以與主機(jī)一起檢查以維護(hù)庫存,并在資源啟動后執(zhí)行安全檢查,而不必等待掃描。代理可以作為構(gòu)建過程的一部分安裝,甚至可以作為部署映像的一部分。與控制代理并與庫存進(jìn)行比較的主節(jié)點連接是執(zhí)行基于云計算的不良資產(chǎn)檢測的一種很好的方式,這是持續(xù)診斷和緩解(CDM)的要求。本地使用的這個概念實際上是關(guān)于發(fā)現(xiàn)未經(jīng)授權(quán)的資產(chǎn),例如插入開放網(wǎng)絡(luò)端口的個人筆記本電腦。在云中,所有的問題都是從已經(jīng)批準(zhǔn)的配置中查找出不符合安全要求的資產(chǎn)。
 
對于以前的示例中的Coalfire Sec-P工具這樣的資源,它在90%以上的時間里作為代碼存在,人們需要以不同的方式思考。代理方法可能不起作用,因為計算資源可能不會存在足夠長的時間甚至無法與主機(jī)連入,更不用說執(zhí)行任何安全檢查。
 
基礎(chǔ)設(shè)施作為代碼審查
 
IaC用于部署和配置計算、存儲和網(wǎng)絡(luò)等云計算資源。它基本上是一組“編程”基礎(chǔ)設(shè)施的模板。它不是云計算的新概念,但云中環(huán)境變化的速度正在將IaC帶入安全焦點。
 
現(xiàn)在,人們需要考慮如何對構(gòu)建和配置資源的代碼進(jìn)行評估。如何做到這一點有很多工具和不同的方法。應(yīng)用程序安全性并不是什么新東西,當(dāng)人們認(rèn)為它是對基礎(chǔ)設(shè)施進(jìn)行持續(xù)監(jiān)控的一部分時,它必須重新檢查。好消息是IaC使用結(jié)構(gòu)化格式和常用語言,如XML、JSON和YAML。因此,可以使用工具甚至編寫自定義腳本來執(zhí)行審閱。這種結(jié)構(gòu)化格式還允許對配置進(jìn)行自動和持續(xù)監(jiān)控,即使資源僅作為代碼存在而且不是應(yīng)用。考慮使用資源的軟件是什么也很重要,因為利用的軟件包必須包含沒有漏洞的最新版本。代碼應(yīng)在更改時進(jìn)行安全審核,因此可以持續(xù)監(jiān)控已批準(zhǔn)的代碼。
 
設(shè)置資產(chǎn)到期是在利用IaC的高DevOps環(huán)境中強(qiáng)制執(zhí)行持續(xù)診斷和緩解(CDM)主體的一種方法。持續(xù)診斷和緩解(CDM)的目標(biāo)是每72小時評估一次資產(chǎn),因此人們可以在時間范圍內(nèi)將它們設(shè)置為過期(因此被拆解,因此需要重建),以了解它們是否在使用經(jīng)過批準(zhǔn)的代碼構(gòu)建的新基礎(chǔ)設(shè)施上。
 
采樣
 
采樣應(yīng)與上述方法結(jié)合使用。在資產(chǎn)總數(shù)總是在變化的動態(tài)環(huán)境中,應(yīng)該有一個堅實的團(tuán)隊核心,可以通過傳統(tǒng)的主動掃描方式進(jìn)行掃描。人們只需要接受無法掃描完整的庫存。與總資產(chǎn)相比,應(yīng)該有更少的配置文件或“黃金圖像”。而這種想法是,如果人們在任何給定掃描中都能獲得至少25%的每個配置文件,那么很有可能將找到同一配置文件的所有資源上存在的所有錯誤配置和漏洞,或識別資產(chǎn)遷移。這足以識別系統(tǒng)性問題,例如錯誤的部署代碼或使用過時軟件創(chuàng)建的資源。如果人們在配置文件中查找與同一配置文件中的其他配置文件存在較大差異的資源,則表明需要解決的DevOps或配置管理問題。在這里,并沒有放棄擁有完整庫存的概念,只能接受確實沒有這樣的事實。
 
專門為執(zhí)行安全測試而構(gòu)建IaC資產(chǎn)也是一個很好的選擇。這些資產(chǎn)可以具有持久性并“注冊”到持續(xù)監(jiān)控解決方案中,以通過儀表板或其他方式以類似于本地設(shè)備的方式報告漏洞。而漏洞總數(shù)是在這些樣本資產(chǎn)上找到的數(shù)量乘以應(yīng)用那些資產(chǎn)的數(shù)量。如上所述,人們可以從云計算服務(wù)商提供的服務(wù)或第三方工具中獲取。
 
自定義方法
 
如今,有許多不同的云計算服務(wù)商可用于無限的基于云計算的可能性,并且所有云計算服務(wù)商都有各種服務(wù)和工具可供他們使用。這里所評論的是高級概念,但每個客戶都需要根據(jù)其用例和目標(biāo)了解詳細(xì)信息。

關(guān)鍵字:云計算

原創(chuàng)文章 企業(yè)網(wǎng)D1Net

電子周刊
回到頂部

關(guān)于我們聯(lián)系我們版權(quán)聲明隱私條款廣告服務(wù)友情鏈接投稿中心招賢納士

企業(yè)網(wǎng)版權(quán)所有 ©2010-2024 京ICP備09108050號-6 京公網(wǎng)安備 11010502049343號

^
  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 永修县| 新安县| 镇雄县| 哈巴河县| 孝义市| 古浪县| 上杭县| 沁阳市| 梁河县| 梨树县| 饶阳县| 朝阳市| 三河市| 乌鲁木齐县| 宜都市| 安吉县| 花莲县| 闽清县| 深泽县| 崇左市| 襄垣县| 胶南市| 沙坪坝区| 晋城| 兰溪市| 永福县| 筠连县| 石泉县| 南郑县| 博乐市| 仁布县| 武义县| 堆龙德庆县| 杭锦旗| 武功县| 嘉荫县| 卫辉市| 壤塘县| 沙湾县| 潜山县| 郁南县|