实现安全的 DevOps 环境

高速发展的 DevOps 运动为依靠这一动态的自动化协作流程将解决方案更快地推向市场创造了巨大机遇。然而这一容器生态系统将重点放在持续集成上,而并未在设计时从根本上考虑安全性。因此,组织经常不得不在速度、效率和安全性之间进行艰难的权衡。

这一点在特权帐户上表现尤为明显。由于 DevOps 环境的动态性质,使得新特权帐户在 IT 基础结构内快速激增,从而构成广阔的攻击面。很多 DevOps 解决方案内部都存在嵌入的特权凭证,例如环境内的各种自动化、配置和编配工具,由于其授予的广泛访问权限而深受攻击者的青睐。这些嵌入的共享凭证不仅难以确保安全,并且在轮换时还会让持续集成和持续部署 (CI/CD) 工作流面临中断的风险。由于开发人员就是需要这样快速、简单的 CI/CD 工作流来有效地完成自己的工作,所以“心动”用户(如开发人员、IT 操作和管理人员)通常最终会面临特权远超所需的状况。因此,几乎每位用户都能管理系统、开发代码和访问整个生产环境。

变化迅速的 DevOps 活跃环境使得保持对所有帐户的可见性和控制成为了当今组织所面临的一个重大挑战。

要确保 DevOps 环境的安全性、锁定特权帐户并最终帮助避免数据泄露和其他威胁,组织必须主动实施具备以下能力的安全控制:

  • 管理、保护和控制对特权帐户的访问。必须对 DevOps 环境中的所有特权帐户加以管理并确保其安全。作为措施的一部分,凭证应集中存储并定期轮换。为保持职责划分,应对凭证的访问加以控制,仅允许授权用户访问特权帐户。
  • 保护应用程序及脚本所使用的凭证应对 DevOps 解决方案用来进行身份验证和访问敏感资源的凭证加以管理并确保其安全。应将它们从代码和配置文件中去除并存储在中央信息库内,同时还应定期进行轮换。此外,每个应用程序实例都应有自己唯一的帐户和凭证。这些凭证若不再需要,则应尽快作废。
  • 对应用程序和容器进行身份验证并为其授予对 DevOps 敏感资源的访问权限。要杜绝在 DevOps 生态系统中混入恶意程序,那么就只有在对请求者实体(应用程序和容器)的身份验证通过后,才能允许对不同 DevOps 资源的访问请求以及应用程序和服务之间的 Web 请求。
  • 执行最少特权。要在不影响生产效率的前提下降低出错和特权滥用的风险,组织应限制特权访问权限,同时对特权升级进行集中管理。这对服务帐户而言特别重要:COTS 或 CI/CD 工具使用的每个帐户都应通过自动化流程来配置和取消配置,同时坚持最少特权原则并遵守组织的访问策略。
  • 监控用户活动。在整个软件开发生命周期中跟踪开发人员的活动,以便弄清楚是谁创建的图像并将其添加到了注册表,是谁对特权、名称空间、流程和策略进行了更改,这些对于保持对环境的控制而言很有必要。

DevOps 环境的安全取决于访问敏感资源所需的特权凭证。目的明确的攻击者意识到了整个容器生态系统中特权帐户的爆炸性增长,并因此常常专门瞄准它们,将其作为成功发起网络攻击的关键路径。这正是为必须对作为开发生命周期一部分的特权凭证加以保护的原因 — 不仅要亡羊补牢,更要在一开始创建新用户或资产时就严加防范。

CyberArk 特权帐户安全解决方案构建于 DevOps 管道之中,从而确保每个特权帐户在创建之初就受到保护。

主要优势:

  • 集中化的凭证保护和管理。在创建之初就对用户、应用程序和 DevOps 工具的特权凭证(密码SSH 密钥和 API 密钥)加以自动保护和管理
  • 保护、管理和审核供应用程序和 DevOps 资源使用的凭证。对嵌入应用程序、工具和脚本中的凭证进行集中存储、保护并控制对其的访问
  • “最少特权”粒度访问控制。通过控制哪些 DevOps 资源特权用户可拥有访问权限并要根据他们的角色和任务来执行操作,来实施“最少特权”策略。
  • 保护并控制用户对 DevOps 敏感资源的访问通过单一访问控制点来集中访问 DevOps 资源,以便尽可能确保控制力和可见度。
  • 持续监控所有的特权用户活动并对可疑行为发出警报。对活动进行监控与分析,以便快速检测出未经授权及可疑的活动,从而减轻对环境的负面影响。

要了解如何在 DevOps 环境中保护您的特权帐户,请联系我们