安全是有分量的

高防御cdn_防ddos流量攻击_原理

2021-01-11 19:16栏目:创投界

IaaS和PaaS的API级连接和控制_云工作负载安全第2部分

"福雷斯特波"™:全球领先的研究和咨询公司Forrester,Inc.发布的报告"云工作负载安全,2019年第4季度"提供了向基于云的环境过渡所带来的安全挑战的出色概述,并讨论了最适合解决这些挑战的云工作负载安全解决方案。一个重要的标准是IaaS和PaaS的API级连接和控制。应用程序基础架构一直很复杂。云计算的"大爆炸"创造了一个不断扩大的新的基础设施服务和资源的世界,这些服务和资源来自IaaS和PaaS平台,如Amazon Web services、microsoftazure和Google Compute Platform。当组合起来时,这个资源宇宙代表了一系列令人麻木的潜在排列。云计算和DevOps也推动了变革的速度和数量,ddos防御系统,几乎可以保证压倒传统的安全方法和技术。在这些新环境中实现安全可见性和控制是Forrester Wave和其他研究中讨论的关键需求。满足这些需求通常涉及利用云提供商的api来发现、评估和监视IaaS环境中的服务和资源的自动化。Forrester将此总体功能称为"针对IaaS和PaaS的API级连接和控制"。CloudPassage的解决方案是Halo,cc防御ddos防御,这是一个云计算安全平台,旨在跨公共和混合云环境自动化安全和合规管理。在Forrester波浪中™:云工作负载安全,2019年第1季度报告,Halo在IaaS和PaaS的API级连接和控制标准中获得了最高可能的分数(5分,满分5分)。本博客探讨了这一标准关于IaaS和PaaS的API级连接和控制在"Forrester Wave"的关键外卖部分™:云工作负载安全,2019年第4季度",Forrester声明如下:"随着内部部署安全套件技术变得过时,无法有效地提供对云工作负载的全面支持,客户/主机操作系统的广泛覆盖支持得到改善;与基础设施即服务(IaaS)和平台即服务(PaaS)平台的API级连接;而容器编排和运行时平台将决定由哪家供应商领头羊。"如果API级别的连接性和控制能力将成为云安全领导者的一个决定性特征,那么这一能力对客户来说似乎很重要。Forrester报告指出,云工作负载安全客户应寻求以下供应商:"为IaaS和PaaS平台提供模板化的API级配置管理。您无法使用老式的本地CMDB工具控制Amazon Web Services(AWS)、Azure或Google云平台(GCP)。相反,您需要严格控制实例和存储的创建以及网络连接。为管理配置而内置并由供应商持续更新的最佳做法、漏洞和法规遵从性模板(CIS、CVE或HIPAA)是这一领域的关键优势。"显然,这种能力很重要。连通性到底是什么?我能做什么呢?什么是IaaS和PaaS的API级连接和控制?API级别的连接性和控制使用云提供商API自动发现、清点、评估、监视和控制IaaS和PaaS环境。通常情况下,这些账户/服务以及账户中的这些资源/服务也包括在内。这个基本功能必须能够处理云基础设施的动态、多样性和分布式特性。所需的一些附加功能包括可定制的策略和规则模板、跨IaaS/PaaS提供商的数据规范化、与云提供商环境的轻松集成以及可伸缩性。许多行业术语都是"用于IaaS和PaaS的API级连接和控制"的同义词。其中包括:云安全态势管理(CSPM)云工作负载安全评估与监控连续云合规性监控云基础设施安全IaaS安全不管名字是什么,概念都很简单:连接到云提供商API检索与安全性和法规遵从性相关的数据点对照标准评估数据但和往常一样,细节是魔鬼。可伸缩性问题、对API限制的影响、跨云可移植性、多云数据规范化以及与其他安全性和合规性数据的相关性都是成功的解决方案必须解决的问题。在本博客的后面,我们将介绍Halo的实现如何很好地解决了这些问题,从而获得了满分5分的成绩。现在,让我们考虑一下为什么这些功能很重要,以及您可以用它们做些什么。为什么IaaS和PaaS的API级连接和控制很重要几十年来,应用程序编程接口(API)一直是应用程序堆栈的重要组成部分,通常与软件本身有关。云计算使api成为成功采用DevOps、持续交付和基础设施自动化的核心。今天的基础设施实际上只是更多的代码,在大量的资源中快速而容易地迭代。云基础设施的这一趋势使得API级别的连接性和控制成为安全性和法规遵从性的重要功能。以下是一些最重要的原因。API有助于保持云的速度和规模API驱动的速度和敏捷性导致了更改速度的大量增加。每一个变化都会带来潜在的危害,这些风险必须在变化发生时加以管理。如果没有办法跟上API驱动的基础架构的速度,安全和法规遵从性从业者很快就会不知所措,有些事情会错过。即使是最精心加固的云环境,最终也会暴露出人类的错误和疏忽,或者自动化工具的薄弱。这在很大程度上与大量的配置设置、访问向量和访问控制结构有关,这些都必须被不断地监视。事实上,根据Gartner最近的研究,到2025年,阿里云ddos防御多少钱,99%的云安全故障将是客户的错。如果没有正确的自动化,犯错误的风险会被放大。这给我们留下了一个最重要的原因:将基于API的自动化的速度、规模和一致性优势扩展到安全性和法规遵从性上,这是IaaS和PaaS的API级连接和控制的重要原因。API帮助安全性与DevOps保持一致,以实现DevSecOpsDevOps是应用程序开发、部署和操作的新规范。聪明的安全领导者正在寻找方法,使安全与DevOps的方法和过程相协调,以创造类似的规模和杠杆作用。基于API的自动化是任何真正的DevOps工作中心的关键支柱。DevOps商店中的工作流是由自动化工具驱动的,ddos高防cdn,这些工具与API连接在一起,一直到工程师彼此交流的方式。当一个任务被期望重复时,它会被当场自动化。更改在准备就绪时部署,通常不需要人工干预或审查。这些概念对于安全和合规从业者来说往往是陌生的,甚至可能与风险控制目标背道而驰。与DevOps团队的协作要求安全和合规团队采用"DevOps方式",这在很大程度上意味着成为API驱动的。这对于学习如何让DevOps参与进来,实现DevOps式自动化的速度和一致性优势,甚至确保共同的态势感知非常重要。如果两个团队都使用相同的API,那么一致的感知将是内置的。从历史上看,安全供应商在为用户提供丰富的API方面一直很失职,这使得API驱动的操作对于安全团队来说有些陌生。专门构建的云安全解决方案的出现正通过向用户公开API驱动的功能来改变这种情况。这正是API级连接和控制功能的本质所在。API支持持续监控以防止最坏的情况发生与传统的数据中心不同,云基础设施环境设计为处于不断变化的状态。计算、存储、网络和其他IaaS资源通过自动化工具不断添加、删除和修改。可以将资源复制或制作为模板,用于在自动缩放事件中扩展基础结构,或者仅用于解决一般增长。这些功能非常强大。但没有力量就不会有这样的风险。云资源通常是就地克隆的,高防cdn设备,这意味着每个曝光都是用它们克隆的。自动化脚本并不总是经过质量保证或检查的,特别是在停机情况最严重的情况下。一个易受攻击的图像或写得不好的更新脚本可能成为"伤寒玛丽",在整个环境中迅速传播致命问题。换言之,在没有警告的情况下,新的可攻击表面区域和曝光的产生应该是完全可以预料到的。在最近发布的白皮书中,cloudpassion分享了我们见过的暴露IaaS和PaaS环境的最糟糕的错误。总之,这些风险包括:容易被入侵的管理凭据公开的数据资产弱网络访问控制无约束爆破半径不良事件记录上面提到的Gartner研究证实了我们自己的经验问题是可以避免的。针对IaaS和PaaS的API级连接和控制是防止这种情况的关键之一。这使得这些功能成为云安全武库的重要组成部分。用于IaaS和PaaS的API级连接和控制的用例连接到API并分析数据的简单功能与跨环境大规模自动化特定操作任务相去甚远。根据我们与数百家公司在云安全方面的合作经验,最关键的问题可能是"我能用它做什么?"这些功能可以解决许多用例,太多的用例无法列出。最常见的用例,其中控制目标是通过API级别的连接和