容器安全平台如何构建?基于DevSecOps有两种方法!
来源:互联网 发布:淘宝卖家试用 编辑:程序博客网 时间:2024/05/17 20:30
容器安全平台已经开始激增,但是企业可能不得不在选定保证容器工作负载安全的工具之前,仔细观察 DevSecOps 的趋势是什么。
11月发布的两个容器安全平台(一个由新兴企业提供,一个由成熟企业安全厂商提供)采用不同的方法。
初创公司 NeuVector 在 DevOps 企业峰会2017上推出企业版,它支持集成到持续集成和持续交付( CI / CD )流水线中的代码和容器扫描功能,但是其实施不需要改变开发者的工作流程。
相比之下,来自更为成熟的安全软件供应商 CSPi 的 Aria Software Defined Security 产品允许开发人员控制是否将库插入容器和虚拟机镜像,从而执行安全策略。
当然,这些容器安全平台之间存在许多重叠。
NeuVector 盯着 CSPi 的企业客户基础,还增加了对非容器工作负载和 Lightweight Directory Access Protocol (轻量级目录访问协议)的支持。
软件定义的安全包括NeuVector主要关注的策略执行的网络微分段功能。开发人员将软件定义的安全代码注入服务器镜像,但其实他们并不希望成为安全专家。企业IT安全专业人员设置由软件定义的安全所强化的策略,以及一系列通过软件定义的安全库的集成过程来指导开发人员的向导。
两家供应商同意这样的观点:采用DevOps流水线的现代IT基础设施可以实现快速的应用程序更改交付,这要求安全路径与传统的漏洞检测和修补技术完全不同。
451 Research分析师Jay Lyman表示,用户对容器的新安全技术存在明确需求——更少地依赖虚拟机基础设施层来强化网络边界,而这样可能会否定容器带来的一些好处。
然而,虽然业界大量讨论需要“左转”并让开发人员参与IT安全实践,但对大多数组织而言,将开发人员和安全人员集中在一起都是说起来容易做起来难。
容器安全平台遇到DevSecOps成长的痛苦
随着NeuVector和CSPi产品的更新推向市场,DevOps企业高峰会(DOES)上的企业IT专业人士表示,目前很少有企业使用容器,对容器安全性的讨论还远远不够。
在容器被广泛使用的时候,DevSecOps可能会更加成熟,这可能会有利于CSPi的实践开发者战略。但是现在,开发人员和IT安全仍然严重分裂。
KPMG LLP的风险顾问Joan Qafoku表示:“每个人都需要保持安全意识,但要求开发人员学习安全并将其整合到自己的工作流程中,我不明白这怎么做得到。”Joan Qafoku与一个位于西雅图的大型企业客户的IT团队合作。Qafoku没有透露这个客户的名称,只介绍这个客户给了开发者一个聚焦安全的调查问卷,但是在他们的流程中,关于安全的整合并没有更进一步。
NeuVector具有集成到CI / CD流水线而无需更改应用程序代码或开发人员工作流程的能力,这被德国国际外包服务公司Arvato的安全架构师Tobias Gurtzick认为是主要卖点。
尽管如此,Gurtzick在DOES之前接受采访时说,这种集成在NeuVector产品的早期版本中并不完美。Gurtzick的团队每两分钟就会调用一次API来触发容器和代码扫描。
NeuVector1.3版本包含了一个新的webhooks通知功能—— 作为持续集成测试的一部分,它可以更“优雅”地触发代码扫描,而无需轮询API的性能开销。Gurtzick认为,这是新版本最重要的特性。
他还指出,新版本增加了对可用于取证分析的详细网络会话快照的支持。软件定义的安全在第一个版本中提供了类似的功能。
Lyman说,尽管Gurtzick等容器安全平台的早期采用者已经解决了关于开发人员和IT安全如何将安全性应用于应用程序的争论,但随着企业还在探索这种合作,总体市场成型的速度有点缓慢。
Lyman说:“越早将安全注入到开发过程中越好,但通常这还是会落在IT运维人员和安全人员身上。DevOps挑战的一部分就是将这些责任与应用程序开发结合起来,最终,我们会看到更多的开发人员参与安全性,但这需要时间,而且这个过程可能会非常痛苦。”
投稿邮箱:openstackcn@sina.cn
- 容器安全平台如何构建?基于DevSecOps有两种方法!
- 如何打造安全的容器云平台
- 如何基于 Spark Streaming 构建实时计算平台
- 如何基于 Spark Streaming 构建实时计算平台
- 如何基于 Spark Streaming 构建实时计算平台
- 基于Docker及Kubernetes技术构建容器云(PaaS)平台概述
- 如何构建Memcached Docker容器
- 乌云章华鹏:如何构建高效安全的运维服务平台
- 乌云章华鹏:如何构建高效的安全运维服务平台
- 如何构建一个安全,稳定,高效的互联网平台体系架构
- 如何构建数据中心安全管理体系
- DevSecOps及机器学习:对IT安全变化的影响
- 如何基于Python构建一个可扩展的运维自动化平台
- 构建基于 J2ME 的安全 SOAP 客户机
- 构建基于LXR的源代码浏览平台
- 基于PHP构建OAuth 2.0 认证平台
- 构建基于云平台的下一代数据中心
- 基于云计算平台构建电视互联网
- DHCP agent服务状态XXX
- Mysql双服互备配置实践记录
- 学习下stm32 配置 HSI作为系统时钟,但意义不大,一般不这样做!
- laravel数据库的增删改查笔记
- 20171108_chr_newdownInterceptor 拦截器改进
- 容器安全平台如何构建?基于DevSecOps有两种方法!
- ZooKeeper在大型分布式系统中的应用之HBase。
- 限制提权与sudo -s
- Unity3D -- 性能优化(3)(官方教程Optimizing garbage collection in Unity games翻译)
- 对称加密
- bzoj 5040: 未来研究
- Springboot日志管理
- 2143: 飞飞侠 最短路
- 控制台宿主 公网访问