取得安全的開發維運(DevOps)環境

快速成長的開發維運(DevOps)行動帶來絕佳機會,透過這種動態性、自動化 與合作式的過程,提供能加快產品上市時間的解決方案。雖然這種容器生態系統專注於持續性整合,但在設計過程中並未將安全性納入基本考量。因此組織通常必須在速度,效率和安全之間,被迫做出困難的折衷取捨。

尤其是在特權帳號,這點特別明顯。因為開發維運(DevOps)環境的動態性質,新特權帳號以野火燎原般的速度在資訊科技基礎建設內部大量激增,結果形成廣大的攻擊面。特權帳號憑證大受攻擊者歡迎,因為這能讓他們取得廣泛存取管道。但許多開發維運(DevOps)解決方案都能發現內建特權帳號憑證,例如做為在環境內部運作的自動化,組態和調度工具。保護和輪換這些內建的分享憑證,很難避免中斷持續整合與持續部署工作流程(CI/CD)的風險。由於開發商需要這種快速簡單的持續整合與持續部署(CI/CD)工作流程,才能有效進行工作,講求速度的使用者(例如開發商、IT運維人員和管理員) 最後通常取得沒必要的過多特權。因此每個使用者都有可能取得管理系統,開發程式碼,以及存取全面生產環境的虛擬能力。

主動、變化迅速的開發維運(DevOps)環境,讓保持可見度和控制所有帳號,成為當前各組織面臨的一個重大挑戰。

為了保護開發維運(DevOps)環境、鎖定特權帳號,最後協助預防資料外洩和其他入侵問題,組織必須主動實施有以下功能的安全控制:

  • 管理,保護和控制特權帳號的存取。開發維運(DevOps)環境內的所有特權帳號,都必須加以管理和保護。做為其中的一環,憑證應該要集中儲存,並且定期輪換。為了保持職責分離,憑證存取應該受到控制,只有獲得授權的使用者能存取特權帳號。
  • 保護應用程式和腳本使用的憑證開發維運(DevOps)解決方案用來驗證和存取敏感資源的憑證.應該加以管理和保護。它們應該從程式碼和組態檔中移除,安全存放在中央儲存庫裡,並且定期輪換。除此之外,每個應用程式實例都應該有自己的專屬帳號和憑證。一旦沒有需要,這些憑證就應該盡快移除。
  • 存取敏感開發維運(DevOps)資源的應用程式與容器,必須獲得驗證和授權。為了避免惡意應用程式進入開發維運(DevOps)生態環境,針對不同開發維運(DevOps)資源的存取請求,以及應用程式與服務之間的網路請求,應該只能在請求者實體(應用程式與容器)通過驗證後獲得批准。
  • 實施最小權限。為了降低錯誤和濫用特權的風險,以免影響生產力,組織應該限制特權存取,並且集中管理特權提升。這對服務帳號來說特別。重要商用現成軟體(COTS),或持續整合與持續部署工作流程(CI/CD)工具,使用的每個服務帳號都應該透過自動化過程進行部署或取消部署;同時維持最小權限原則,並且遵守組織的存取政策。
  • 監控使用者活動。追蹤在軟體開發生命週期全程的開發者活動,掌握有誰建立映像檔,並且加入登錄檔;有誰改變特權、名稱空間、過程和政策。這些都是維持對環境的控制的必要措施。

要確保開發維運環境的安全,唯一的辦法就是在存取敏感資源時,提出特權憑證請求。蓄意攻擊者發現特權帳號在容器生態環境,全面出現爆炸性成長,於是通常特地鎖定這些特權帳號,做為成功網路攻擊的 關鍵路徑 的一環。這就是做為部署生命週期一環的特權憑證,必須加以嚴密保護的理由。不是當作事後補救措施,而是在設定新使用者或建立新資產之初就要進行。

CyberArk特權帳號安全解決方案 是建立在開發維運(DevOps)的管線內部。這能確保每個特權帳號從一被設定開始,就能獲得保護。

主要優點:

  • 集中保護與管理憑證。自動保護和管理特權憑證(密碼 , SSH金鑰  和應用程式介面金鑰) 。使用者、應用程式與開發維運(DevOps)工具的特權憑證,一被打造出來就受到保護和管理。
  • 對應用程式與開發維運(DevOps)資源使用的憑證,進行保護、管理跟稽核。集中儲存、保護和控制憑證存取,分別內建在 應用程式 、工具與腳本裡。
  • 精細化”最小權限”存取控制實施 “最小權限”政策;根據開發維運(DevOps)資源使用者的角色和任務,決定哪些使用者能進行存取,以及能執行哪些任務。
  • 保護和控制使用者對敏感開發維運(DevOps)資源的存取。透過單點存取控制,讓開發維運(DevOps)資源的存取集中化,進而達到控制和可見度最大化。
  • 持續監控所有特權使用者活動,並且對可疑行為提出警告。為了減少對環境的負面衝擊,對活動進行監控和分析,以求快速偵測出未授權與可疑活動。

要瞭解如何在開發維運(DevOps)環境,保護你的特權帳號, 請聯絡我們