-
议程与背景
- 议程包括:从传统基础架构到云、云上安全归因、2021年数据泄露事件、云基础架构管理对比、基础架构即代码(IaC)及其优势、软件开发CI/CD流水线、云原生下的IaC、IaC安全挑战、IaC所面临的挑战、IaC安全解决方案。
- Gartner预测,到2023年,至少99%的云安全故障将是客户的错,主要表现为云资源配置错误。
-
基础设施即代码(IaC)定义与优势
- 定义:IaC是一种使用新技术构建和管理动态基础设施的方式,将基础设施、工具和服务以及对基础设施的管理本身作为一个软件系统,采纳软件工程实践以结构化的安全方式管理对系统的变更。
- 优势:再生性、一致性、快速反馈、可见性、标准化、自动化、可视化、使用DSL描述环境、自测试系统、一切进行版本化。
- 主要方式:命令式 vs 声明式,不可变基础设施(Immutable Infrastructure)。
- DevOps提升:自助服务、速度和安全性、文档化、版本控制、验证、重用。
-
IaC工具与示例
- TerraForm:IaC工具,通过Provider管理不同云平台资源。
- 示例:TerraForm Provider浏览链接:https://registry.terraform.io/browse/providers。
-
云原生下的IaC
- IaC风险:互联网暴露、基础镜像漏洞、未经授权的权限提升、配置漂移、影子服务器、未遵从合规要求、数据泄露、硬编码、禁用审计日志、镜像源不可信。
-
IaC所面临的挑战与解决方案
- 挑战:集成开发方式执行IaC工具、状态文件安全、杜绝硬密码。
- 解决方案:
- 扫描IaC代码以检查错误配置(工具:Attributecheckov、Snyk、terrascan、tfsec)。
- 将IaC安全扫描自动化到开发人员工作流程中。
- 漂移治理:建立中央治理,引入控制自动化。
- 拥抱云基础架构安全终态。
-
IaC安全工具对比
- 工具对比表:
- 支持的IAC:TF AWS、TF GCP、TF Azure、CloudFormation。
- 集成到CI/CD:GitLab、GitHub、BitBucket。
- 特性:白名单/黑名单规则、自动修复、输出格式、文档等。
-
安世加简介
- 安世加专注于网络安全行业,通过互联网平台、线下沙龙、峰会、人才招聘等多种形式,致力于创建亚太地区最好的甲乙双方交流、学习的平台。官方网站:https://www.anshijia.net.cn,微信公众号:asjeiss。
