曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        利用Thales HSM保護容器和多云操作
        發布時間:2020-02-14 08:52:32   閱讀次數:

        1-2002140Z606442.png

        前言

        2014年8月8日,SafeNet正式加入Gemalto

        2019年4月2日,Gemalto正式加入Thales


        云上的信任

        向云原生應用程序的轉變正在改變IT的基礎。在許多情況下,內部基礎設施和應用程序的開發和維護不再是一種選擇。云原生應用程序開發以及容器和業務流程框架(如Kubernetes)的使用在性能,可移植性和規模方面提供了不可否認的優勢。


        但是,對于安全團隊而言,顯而易見的是,結果是可能的攻擊面有所增加??绻苍坪退接性瓢葱璐笠幠2渴餓T資源意味著安全漏洞或漏洞經常無法發現。知道誰和什么可以被信任是一個持續的斗爭,因為惡意代碼,不可信的連接和配置錯誤都會導致一件事–更大的風險。


        多種機制可幫助應用程序和安全團隊減輕這些風險,但是身份是核心。識別每個云或網絡中的所有“事物”(例如工作負載、服務、代碼),驗證完整性并端對端加密連接是成功的一半。使這成為可能的兩個關鍵功能是簽名強制執行和信任身份驗證,這兩者都可以通過使用X.509證書來完成。


        一切簽名

        開發人員應始終對代碼進行數字簽名,以保護最終用戶避免下載和安裝受到破壞的代碼。代碼簽名可確保未經授權的用戶無法修改應用程序,并高度保證僅執行由供應商開發和審查的真實代碼。一旦將軟件打包到容器中以部署到云中,就可以對容器進行簽名。例如,Docker支持容器簽名以啟用對容器完整性和發布者的驗證。


        我們建議兩種級別的簽名。如果應用程序已簽名,但容器未簽名,則除合法代碼外,惡意用戶還可能在容器上運行其他惡意代碼。毫無疑問,強制簽名是必要的,但更重要的是保護用于簽名的證書及其相關的私鑰。如果這些密鑰被盜用,攻擊者可以使用它們對惡意代碼進行簽名,使其看起來與您的軟件一樣真實可靠。


        關鍵因素代碼保證是專門為解決這些問題而設計的。該平臺為開發人員提供了以編程方式訪問證書以簽署代碼的權限,同時安全團隊對所有簽名活動進行了嚴格的審核跟蹤,并確保私鑰在集成的Thales HSM中保持安全。將私鑰存儲在FIPS 140-2 3級投訴中,Thales HSM(本地或基于云)可確保即使有人可以訪問該位置,他們也無法提取或復制證書。


        值得注意的是,簽名可以遠程完成,無需將敏感密鑰分配給多個團隊或位置。無論您使用的是Windows可執行文件的Microsoft SignTool,Java身份驗證的jarsigner還是Jenkins等更復雜的工具,Keyfactor密碼存儲提供程序(CSP)和API都可以集成到幾乎任何CI / CD管道或構建過程中。


        建立一切的安全身份

        最佳實踐是確保與容器或群集之間,容器之間或群集之間的每個連接都使用SSL / TLS來啟用相互身份驗證和端到端加密。這樣可以防止未經授權的對手建立可能損害容器或整個群集安全性的連接。監視和審核已頒發并處于活動狀態的SSL / TLS證書也很重要。未知,惡意或不合格的證書可能會導致意外中斷,或更嚴重的是濫用會導致意外訪問受限制的系統。


        例如,Kubernetes可以自行生成和頒發證書,但是大多數人發現它沒有提供他們所需的可見性,以確保證書沒有被不適當地頒發。但是,Kubernetes還支持ACME協議,該協議可用于從其他來源(如Let's Encrypt)獲取證書。該協議與Keyfactor ACME Server集成在一起,并作為Keyfactor命令(我們的PKI即服務和證書自動化平臺)的一部分包含在內,以從企業支持的任何PKI(公共或私有)中獲取證書,該PKI在關鍵因素平臺。這樣可以在部署時為每個容器安全,自動地頒發唯一的,受信任的身份證書。這是通過對不同證書模板或產品的基于角色的強大訪問控制來完成的,


        為容器頒發的證書應該是短命的,以限制在任何給定時間處于活動狀態的未過期證書的數量,該數量通??赡艹^數千。如果證書被盜,這將有助于降低遭受破壞的風險,并減輕影響,因為證書無論如何都會很快過期。但是,不能短命的證書也是最重要的-證書頒發機構(CA)本身的證書。


        與代碼簽名一樣,保護頒發證書的CA至關重要。如果CA受到威脅,攻擊者可以發出自己的身份,默認情況下,這些身份將在組織的整個生態系統中得到信任,并且修復成本非常高,因為它會使該CA頒發的每個身份無效。與Thales HSM集成在一起的Keyfactor Command平臺可確保CA證書和密鑰的安全,從而確保為所有證書提供強大的保護和完整的可見性,策略實施以及自動化。


        Keyfactor和Thales提供集成解決方案,旨在為組織提供所需的工具,以最少的努力無縫自動化容器化和多云環境的安全操作。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精