主页 > 安全 > 云计算中的安全软件交付

云计算中的安全软件交付

admin 安全 2021年01月12日

云安全

许多组织都面临着新的网络安全问题,因为它们希望加快自身和客户的数字化转型。与此同时,信息技术(IT)和运营部门正面临着联合和创新以实现其企业数字化目标的挑战。

通常情况下,公司希望加快速度,安全团队需要保护组织,这会导致摩擦,减缓进展。许多企业以流程、决策和经验的形式提供网络安全的方式并没有以其自身变革的速度、速度和速度发生。

CISO困境

首席信息安全官(CISO)有责任保护其企业。通常,他们通过建立经过战斗考验的策略、标准和服务来实现这一点,这些策略、标准和服务将成为治理模型。这就产生了一种运营模型,这种模型试图在优先考虑风险和安全性的情况下来平衡推向市场的趋势。网络安全团队希望成为创新的推动者,而不是被视为障碍。但是,为了促进转换,除了帮助其他人采用安全意识的文化外,它们本身还必须进行转换。

云计算中的安全软件交付

过去的旧版应用程序看起来与现代的云原生应用程序不同。由虚拟机管理程序管理的裸机或虚拟机已组织成三层应用程序(Web服务器、Web应用程序和数据库),这已成为数十年来的惯例。今天,我们仍然可以在客户中看到这种模式,但是这个据点正在让位于云原生应用程序。

云原生应用程序是商品化和开源争夺解决方案堆栈(包括操作系统(Linux)、云计算、软件定义的网络以及最近的容器)不断发展的结果。甚至接口方法也已经商品化(请考虑应用程序编程接口)。“应用”一词的定义正在不断发展。现在,过去的巨石被分解为一系列微服务,这些微服务由Kubernetes(k8s)进行容器化和管理。

随着体系结构的根本变化和当前应用程序的结构,安全问题也在不断发展:

· 在云原生模型中,威慑,预防,侦探和纠正措施的应用方式有所不同。

· 攻击面是不同的(图像,名称空间和服务帐户在过去的遗产计算模型中不存在)。

· 攻击面的数量更大(微服务固有地比整体服务具有更多的服务间通信)。

· 攻击面是短暂的(从零缩放和动态缩放功能可以暴露在定期扫描和审核之前可能已经消失的漏洞)。

扩展DevOps以包括安全性

在DevOps流行之前,安全团队通常在项目后期参与评审,在应用程序投入生产之前提供指导。安全性只在开发过程的最后才被考虑,如果发现问题就会导致延迟。这导致了更大的补救成本。

DevOps的初衷是在生命周期的早期将两个不同的交付利益相关者聚集在一起:开发和运营。为什么停在那里?

标签:
下一篇:没有了