曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        如何增強基礎設施即代碼的安全性
        發布時間:2021-11-30 14:04:54   閱讀次數:

        如何增強基礎設施即代碼的安全性(圖1)

        在當今云和移動優先的時代,跨超擴容器和本地手動創建和維護基礎設施已不再可持續。不斷增長的業務需求更頻繁地發布使這進一步復雜化,應用程序和基礎設施的變化以驚人的速度發生?;A設施的穩定性、可擴展性和安全性對于任何應用程序都至關重要。


        現代 DevOps 和云工程團隊正在通過以編程方式將基礎架構“資源”(虛擬機、網絡、配置等)定義為代碼來解決這一困境。這種做法被恰當地稱為基礎設施即代碼(Infrastructure-as-Code)。


        什么是基礎設施即代碼?

        基礎設施即代碼 (IaC) 是在描述性模型中以代碼形式管理基礎設施(網絡、計算機、虛擬機、負載平衡器和連接拓撲)。正如代碼每次生成相同的二進制文件一樣,IaC 模型每次應用都會生成相同的環境。


        常見的 IaC 工具包括 Chef、Puppet、Ansible、Terraform 和 Pulumi。


        基礎設施即代碼的工作原理:寵物與牛服務模型

        用于描述 IaC 的一個常見例子是基礎設施服務模型的“寵物與?!钡母拍?。這首先是由比爾·貝克上的話題推出擴大VS縮放 出在縮放的SQL Server 2012,并通過加文麥坎斯在后來推廣CERN數據中心演進呈現。


        寵物服務模型中,每個寵物服務器都被賦予一個愛的名字,如宙斯、哈迪斯、波塞冬等。他們是“獨一無二的,親手撫養和照顧的,當他們生病時,你會照顧他們恢復健康”。你可以通過擴大它們來擴大它們的規模,當它們不可用時,每個人都會注意到。


        牛服務模型中,服務器被賦予標識號,如web01、web02、db01、db02等,與牛被賦予編號的方式非常相似。每臺服務器“彼此幾乎相同”,并且“當一個服務器生病時,您可以用另一個服務器替換它”。您可以通過創建更多它們來擴展它們,當一個不可用時,沒有人會注意到。


        IaC 工具用于大規模創建、維護或停用此類基礎設施。例如,下面的 terraform 代碼片段(一個 IaC 工具)使用 AWS,在“us-west-2”區域創建了一個具有指定 AMI 和大小t2.micro的 AWS 實例:


        provider “aws” {
                  profile = “default”
                  region  = “us-west-2”
        }
        resource “aws_instance” “web01” {
                  ami    = “ami-830c94e3”
                  instance_type    = “t2.micro”
        }


        開發人員現在可以設置創建基礎設施即代碼所需的所有參數。當它被參數化和擴展時,很容易想象在 5 個區域中快速啟動一千臺服務器。


        為什么組織要轉向 IaC?

        當您開始將基礎設施視為代碼時,有幾個固有的優勢:

        1. 將 DevOps 原則應用于基礎設施:就像應用程序代碼一樣,IaC 支持通過代碼管理基礎設施。這使我們能夠應用 DevOps 原則,如單一事實來源、代碼審查、安全掃描、單元和集成測試等。

        2. 速度和可重復性:能夠以非??斓乃俣却笠幠?、管理和破壞基礎設施和配置。由于基礎結構是由相同的代碼創建的,因此具有絕對的可重復性。另一方面,如果代碼中有錯誤,它也會被復制。這就是 DevOps 原則(例如代碼審查)發揮作用的地方。

        3. 安全性和可審計性: IaC 代碼可由安全團隊審查并由測試工具評估。由于代碼處于源代碼控制中,因此可以審核誰更改了什么以及何時更改。

        4. IaC 作為 CDLC 的一部分:IaC 被視為云開發生命周期 (CDLC) 的一部分,它由三個階段組成:

          • 開發:IaC模板的創建;

          • 部署:通過執行 IaC 模板提供基礎設施;

          • 運行時:更新 IaC 以在運行時更改。


        這種新范式鼓勵使用經過驗證的 SDLC(軟件開發生命周期)原則并將其擴展到 CDLC(云開發生命周期)。


        開發人員如何在基礎設施即代碼中增強密碼學的安全態勢?

        在2021 IAC安全洞察報告指出,45%的受訪了解在部署后配置和IAC安全問題。


        如何增強基礎設施即代碼的安全性(圖2)

        以下是開發人員在 IaC 模板中增強加密安全狀態的關鍵考慮因素:


        哪里有舊的加密密鑰和數字證書? 傳統上,開發人員將證書和機密存儲在本地構建服務器或共享位置,以便與 CI 系統一起使用。但是,這是有風險的,并且會引發惡意活動。


        如何管理密碼學?現代快速開發和發布需要按需訪問加密密鑰。從開發人員的角度來看,和其他機制的傳統用法可能不是最方便的。


        與 CI/CD 集成怎么樣? 開發人員在與 CI/CD 管道集成時會欣賞靈活性:

        • 本地簽名:與 OS/Platform 簽名者實用程序(如 JDK 的 jarsigner/keytool 或 Microsoft SDK 的 signtool.exe)和安全提供者(HSM 或供應商)集成;

        • 遠程簽名:REST api 將文件發送給供應商,供應商將簽名并返回。


        所有這些考慮都應該通過現代加密解決方案來解決,這些解決方案旨在跨傳統和云原生世界運行。該解決方案應提供FIPS 認證的密鑰管理系統,該系統可以作為 IaC 的一部分進行編排。它還應該能夠按需訪問加密密鑰。


        安全 IaC 是未來

        隨著 Kubernetes 和無服務器等云原生技術獲得主流采用,IaC 越來越受到關注,并成為企業成功的關鍵。它還使開發人員能夠更有效地管理他們的基礎設施和配置。


        先進的密碼代碼簽名技術完成了 IaC 的安全循環。通過提供跨技術堆棧的代碼簽名解決方案,從傳統的 Java、DotNet 到移動代碼和容器/無服務器,他們實現了大規模的軟件交付。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精