首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >在运行时与构建时如何保护云计算基础设施

在运行时与构建时如何保护云计算基础设施

作者头像
静一
发布于 2020-07-16 09:54:56
发布于 2020-07-16 09:54:56
1.4K0
举报
文章被收录于专栏:云计算D1net云计算D1net

在当今的云原生世界中,随着基础设施的飞速发展,大规模构建云计算环境需要可再现性和弹性,因此需要从一开始就优先考虑快速更改和扩展基础设施的能力。

对于云原生环境来说,企业只在运行时采用安全措施已经不够。

在当今的云原生世界中,随着基础设施的飞速发展,大规模构建云计算环境需要可再现性和弹性,因此需要从一开始就优先考虑快速更改和扩展基础设施的能力。令人感兴趣的是,对于许多人来说,云计算安全性只与在运行时发生的错误配置和违规行为有关。

如果在构建时不关注流程和代码,就无法确定基础设施问题,这与企业设计和构建现代云计算基础设施的方式不符。如果构建不可变的基础设施,则需要开始考虑如何保护不可变的基础设施,而只是孤立地提高运行时的安全性是不够的。另一方面,如果只在构建时解决云计算安全风险,但缺乏生产基础设施的完整环境的话,也可能在云计算环境中留下漏洞。

以下将重点关注通过在构建时和运行云计算基础设施时扫描来检测安全问题,概述它们的价值和缺陷,以说明同时利用这方面的重要性。

运行时的云安全状态管理

为了应对云计算环境变得越来越复杂的局面,云计算提供商围绕云计算资源的管理提供了丰富的元数据和遥测技术。建立可持续的云安全计划需要对这些数据进行一致且可扩展的收集和分析。

技术社区主导的项目(如AWS公司的Prowler和谷歌云的Forseti)应运而生。这两个项目都率先使用了公开的API来收集配置数据并检查配置错误,实现了对部署后配置错误的检测。

现在,大多数云计算提供商都在其控制平台管理服务中包含了此类功能。使用AWS配置、Azure策略和Google资产清单等原生工具,获得云计算的基本可见性比以往任何时候都容易。

运行时的云安全性当然是最佳实践,但它也有其自身的优点和缺陷:

(1)变更追踪

运行时扫描遵循配置的实际状态。当以多种方法管理配置时,运行时扫描仍然是识别和评估随时间变化的配置的主要技术。

(2)符合法规要求

大多数受监管的行业现在需要持续的变更控制审计和跟踪。为了满足这些需求,大多数扫描程序都将它们的发现映射到行业基准。一旦控制被映射到基准部分,企业就可以使用扫描报告作为基准证据来满足大多数行业特定的需求和审核。

(3)接近实时结果

根据扫描频率,运行时扫描可以快速识别和分类正在进行的问题。将扫描程序连接到票证或监视工具可以帮助确保更快的响应和缓解。

(4)低信噪比

大多数扫描程序仍然严重依赖缺乏场景的确定性检测逻辑,从而导致一堆无关紧要的发现,尤其是对于资源寿命较短的动态环境。例如,在使用自动缩放的环境中,运行时扫描将在两次扫描之间返回不一致的结果,并产生不代表最新资源状态的输出。此外,扫描多方面的身份识别与访问管理(IAM)权限或完整的网络拓扑可能会错误地警告配置更改。

(5)不切实际的发现

标记错误配置后,最直接的问题通常是“我们该怎么做才能解决?”,如果修复单个云配置错误需要更多的人工步骤,或者无法还原配置,那么其升级最终浪费了开发人员宝贵的时间。

(6)重复的错误配置

对于利用基础设施代码框架来协调云计算资源的团队而言,只是在运行时修复错误配置会带来重复发生的风险。为了确保不会发生云计算配置错误,必须在源头进行补救。

构建时云安全状态管理

在构建时云计算基础设施扫描配置并不是什么新鲜事。识别编码错误已经有一段时间了,尤其是在应用程序安全中。然而,随着基础设施作为大规模提供云计算资源的代码的兴起,这种方法的应用在过去几年中得到了极大的扩展。

以代码方式管理的扫描配置使用与运行时扫描程序相同的高级策略,并搜索相同的资源及其配置状态。通过使用基础设施即程序代码(IaC)扫描程序(例如开放源代码工具Checkov),配置文件被视为独立的清单,用于描述如何配置资源和设置属性。

通过应用在运行时解决云计算安全性方面获得的许多经验教训,可以使用构建时扫描来发现其他有价值的方面和缺点:

(1)可行的调查结果

通过在代码中列出并管理配置,可以更容易地找到导致配置错误的确切属性和参数。

(2)合作解决

通过所有代码的检测和响应,每个开发人员都可以帮助解决持续存在的问题。通过在同一工具中统一检测和补救,可以更轻松地从一开始就将云计算安全性构建到日常工作流程中。

(3)自动响应

通过以机器可读语言识别和修复问题,可以更轻松地开发自动化功能,以零接触或几乎没有人员的接触来查找和修复配置。自动化是大规模构建和维护安全云计算基础设施的关键。

(4)不相关的发现

仅在构建时检测到的配置问题可能只代表更完整配置态势的一部分。例如,假设一个组织在运行时管理网络组件并在构建时计算资源,知道已加固的VPC或安全组将确保外人无法访问它,因此可以很容易地抑制暴露在全球互联网上面向EC2的标识。

(5)缺少场景

完全依赖于构建时的发现而没有在运行时将其归因于实际的配置状态,可能会导致配置冲突。例如,尝试加密以前未加密的数据库实例可能无法进行更改,因为大多数托管数据库服务事后不允许进行加密。

(6)部分覆盖

尽管不断增长,但作为代码框架的基础设施却无法支持所有公共可用的云计算服务。当围绕它开发错误配置检测策略时,对构建的有限支持也会转化为局限性。

两全其美的做法

随着云计算服务和配置框架比以往任何时候都多,面临的安全挑战要求在整个运营和开发生命周期中采用统一的方法来管理云计算安全。

这就是行业专家认为在云计算基础设施在构建时和运行时进行扫描不是一种竞争策略而是一种完善策略的原因。

运行时扫描可提供当前配置状态近乎实时的准确描述,但只有添加了构建时的扫描之后,团队才能响应并修复错误。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-07-15,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 云计算D1net 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
10 条评论
热度
最新
66666
66666
111举报
^_^感谢支持
^_^感谢支持
回复回复点赞举报
66666666
66666666
111举报
感谢支持^_^
感谢支持^_^
回复回复点赞举报
666666666666
666666666666
111举报
^_^感谢支持
^_^感谢支持
回复回复点赞举报
路过看看~~~
路过看看~~~
111举报
感谢支持^_^
感谢支持^_^
回复回复点赞举报
其实我个人更喜欢JS多一些,本来就是因为动态类型喜欢它的😁
其实我个人更喜欢JS多一些,本来就是因为动态类型喜欢它的😁
111举报
其实动态语言对于程序员个体来说真的节省了很多生命;只是TS对于大型多人开发,总体上可以节省更多的时间,因为避免了很多维护性问题带来的抓耳挠腮时刻
其实动态语言对于程序员个体来说真的节省了很多生命;只是TS对于大型多人开发,总体上可以节省更多的时间,因为避免了很多维护性问题带来的抓耳挠腮时刻
回复回复点赞举报
推荐阅读
分享 16 个有用的 TypeScript 和 JS 技巧
英文 | https://blog.logrocket.com/16-useful-typescript-javascript-shorthands-know/
前端达人
2022/06/09
1.3K0
提高 javascript 代码效率的技巧
✨ 变量声明 多个变量的声明,可以简写 // 非效率写法 let x; let y; let z = 520; // 效率写法 let x, y, z = 520; ✨ 三元运算符 在条件判断时,可
江户川码农
2022/06/25
9313
提高 javascript 代码效率的技巧
20个常用的JavaScript简写技巧
任何编程语言的简写技巧都能够帮助你编写更简练的代码,让你用更少的代码实现你的目标。让我们一个个来看看 JavaScript 的简写技巧吧。
深度学习与Python
2020/12/07
1.1K0
程序员提高写代码速度_学完javascript学什么
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/170853.html原文链接:https://javaforall.cn
全栈程序员站长
2022/09/22
5220
2021年要了解的34中javascript优化技术
您可能已经进行了很久的Javascipt开发,但有时你可能没有编写一些额外最近的代码去解决你的问题。这些技术可以帮助你编写干净并且优化你的Javascript代码。此外,这些主题可以帮助你为2021年的Javascipt面试做好准备。
小丑同学
2021/01/08
7110
分享一些 JavaScript 代码简写技巧
如果||前面的值是0 '' false null undefined NaN其中的任意一种,则直接返回||后面的值
前端达人
2023/08/31
3750
分享一些 JavaScript 代码简写技巧
分享 20 个提升效率的 JavaScript 缩写小技巧
JavaScript中有很多速记技巧,可以缩短代码长度,减少冗余,提高代码的可读性和可维护性。本文将介绍20个提高效率的JS缩写技巧,帮助你告别写垃圾的生活,轻松写出优雅的代码!
前端达人
2023/10/25
4390
分享 20 个提升效率的 JavaScript 缩写小技巧
Typescript常看常新
在看了同事推荐的ts教程后,发现自己还是有很多不会的,所以整理出一些自己学到的新知识点,希望各位也能有所收获!(我就写给自己看看,不要太当回事哈哈哈
y191024
2024/01/22
3190
Typescript常看常新
30个 JS 实用技巧总结,助你提升工作效率
我是Rakshit Shah,我在 IT 行业的工作经验已经超过5年了。我是一名全栈开发人员。JavaScript确实是所有全栈开发人员的必会的技术。其他技术(Angular、Java、VueJS 等)的语法会有所不同,但我们应该更多地关注概念与实际应用!
前端达人
2021/10/08
1K0
30个 JS 实用技巧总结,助你提升工作效率
22+ 高频实用的 JavaScript 片段 (2020年)
废话不多话,在本文中,列出了一些比较常用或者实用的的 JavaScript 代码片段,希望对你们有所帮助。
前端小智@大迁世界
2020/09/03
2740
34种你需要了解的JavaScript优化技术
英文 | https://javascript.plainenglish.io/34-javascript-optimization-techniques-to-know-in-2021-d561afdf73c3
前端达人
2021/04/22
1.2K0
21个单行代码技巧,不单单只是炫技!
简单的工作绝不复杂化,复杂的代码大多都能简化。今天大师兄就公开珍藏收集已久的单行代码绝技
程序员老鱼
2022/12/02
3510
19+ JavaScript 常用的简写技巧
CG国斌
2017/12/29
1.1K0
19+ JavaScript 常用的简写技巧
您应该知道的11个JavaScript和TypeScript速记
英文 | https://blog.bitsrc.io/11-javascript-and-typescript-shorthands-you-should-know-690a002674e0
winty
2020/10/09
6720
【TypeScript 4.5】005-第 5 章 函数
object 指的是任何不是基元的值:string、number、bigint、boolean、symbol、null、undefined
訾博ZiBo
2025/01/06
2280
开发中经常遇到的JavaScript问题整理(超实用)
今天遇到一个需求,已知月份,得到这个月的第一天和最后一天作为查询条件查范围内的数据
coder_koala
2021/03/09
1.7K0
分享 9 个实用的 JavaScript 技巧
https://javascript.plainenglish.io/9-javascript-tricks-that-make-your-code-fantastic-4cf3d7880229
前端达人
2023/08/31
3610
分享 9 个实用的 JavaScript 技巧
JavaScript 开发人员需要知道的简写技巧
本文来源于多年的 JavaScript 编码技术经验,适合所有正在使用 JavaScript 编程的开发人员阅读。
一墨编程学习
2018/10/20
9910
42个实用的JavaScript优化技巧
我一直喜欢报纸之类的东西,可以在较短的时间内提供足够的信息。在这里,我为前端开发优化创建了一个新的学习列表。
前端达人
2021/05/11
12.6K0
重读《学习JavaScript数据结构与算法-第三版》-第2章 ECMAScript与TypeScript概述
洛伊安妮·格罗纳女士所著的《学习JavaScript数据结构与算法》第三版于2019年的5月份再次刊印发行,新版内容契合当下,实为JavaScript开发人员的必备之佳作。有幸重读此版,与诸君分享共勉。
胡哥有话说
2019/08/19
9930
推荐阅读
相关推荐
分享 16 个有用的 TypeScript 和 JS 技巧
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档