抛弃一个黑洞为安全
法国公共部门的永无止境与云的斗争
Live Blog:Apple iPhone事件
企业IOT:今天的成本刀具,明天是一家钱制造商
皮肤切割想要放在智能手机上的心电图
网络折叠:为什么互联网与灾难调情
NAO说,HMRC数字转型中的实施问题“不可避免”
Apple的小型iPhone策略旨在收回卡住的客户
Oracle希望将其公共云放在防火墙后面
Skype for Business将为企业提供预算的合作
你需要了解的5件事.: 认知,神经和深,我!
美国政府加入欧盟 - 美国数据转移的法律挑战
Bet365获得SwiftStack对象存储,因为NAS拉起短暂
Clegg不知道GCHQ监测议会电子邮件
CESG向信息安全专业人员发出挑战
面试:GE Digital的首席商务官Kate Johnson关于数字化制造
vr刚刚认真,你应该关注
MouseJack:'数十亿美元的无线键盘,小鼠易受袭击15美元的劫持攻击
谷歌的alphago a.i.再次击败明星韩国去球员
IOT可能很难,但红帽和欧洲教练正在合作,让它更容易
专家警告说,“筹码”计划访问恐怖分子的iPhone是有风险的
安迪树林和硅谷的死亡
恐怖分子更改了iCloud密码,在他的iPhone上禁用了自动备份
SAP Hybris推出了模块化微服务市场。这是建立生态系统的更好方法吗?
研究发现,数百万敏感的IT服务暴露于互联网
CCTV软件中的固件错误可能会给脚跟一个立足点
工作正在进行中:JISC的共享数据中心愿景如何震动教育部门
勒索软件有助于使网络威胁真实
Facebook的收入火箭强劲增长
DataceRe Sector的能源消费习惯“忽视”竞选人员
9.7英寸iPad Pro不能成为PC更换的5个原因
研究人员发现,DDOS公开攻击提供5美元的价格
HPE网络安全战略家称之为攻击者
随着Android开始赶上Apple的销售跳跃
政府宣布技术教育大修
Cisco说,网络安全所需的重新思考
CIO采访:AnttiYlä-jarkko,芬兰Vantaa市
Microsoft Xbox Bros为GDC Bash聘用了“半裸”的“女学生”
GE推出工业互联网操作系统
医院使用伪装的旧恶意软件
Flash正在飙升到大数据分析
10个让苹果的女性伟大
AT&T希望世界看到它的软件纺纱服务
遇见胡椒,跳舞机器人
Brexit可能会影响游戏行业的人才管道
这个新发现可以将量子计算机放在更近的范围内
Egnyte提供灵活的密钥管理
BSA警告来自无许可软件的恶意软件风险
新加坡从2017年阻止其公务员的互联网接入
新的OS X恶意软件可以跟踪回到黑客团队
您的位置:首页 >电子新闻 >

抛弃一个黑洞为安全

2021-06-19 08:44:04 [来源]:

安全公司Venafi表示,企业将应用程序开发和部署结合的Devops方法转向朝着安全的方法,这是对安全的越来越挑战。

“Devops就像安全团队的黑洞,因为他们不知道Devops正在做什么,并且没有办法确保安全政策强制执行,”Venafi的威胁情报和安全战略副总裁Kevin Bocek告诉计算机每周。

“我们通过制定不符合公司政策和标准的安全决策,我们看到Devops团队引入漏洞。[他们也是]安全决策不良,例如禁用某些功能和规避代码扫描和配置检查程序,“他说。

转向Devops正在由业务持续创新,并尽快向市场推出功能和商业模式。

Gartner预测,75%的组织将于2017年与“快速IT”团队一起运行,这通常包括一个Devops方法,使IT团队能够转向持续的测试和开发环境。

但是,将开发和运营团队合并为有助于发展和连续交付通常意味着安全被忽视,网络攻击风险增加。

“安全传统上,传统上是探索团队的障碍,因此,他们倾向于寻找周围的方式,避免与安全团队联系,”Bocek说。

这种趋势不再限于小型敏捷企业,甚至是银行,保险和付款等大,高度监管的部门正在挖掘Devops方法的好处。

这意味着由于以牺牲安全性为速度对市场的速度焦点,增加的范围和业务数量来自网络攻击的风险。

与Devops相关的最大安全监督之一涉及TLS(传输层安全性)键和证书,它决定了互联网上可以且无法信任的证书,使软件能够在中间,欺骗和其他基于信任的私下和防止人员进行沟通。攻击。

Devops诸如Orchestration和ContainisIzation等方法,增加了对可信TLS密钥和证书的近瞬时可用性的需求。因此,许多开发人员在获取或使用TLS键和证书时取消键盘。

根据Bocek的说法,这是因为标准过程可以在大多数英国组织中需要三到五个工作日。

这些快捷方式包括使用弱密加理方法;未知,自签名或重复的键;通配符证书代表整个域名;和未经批准的证书当局(CAS)几乎没有从安全团队没有验证和监督。

所有这些都使得攻击者更容易看出可信或隐藏内部加密流量,并且不受信任和未受保护证书的庞大卷会使已过期或Misconpd证书越来越可能的中断。

“Venafi Research表明,79%的CIO认为Devops使得知道是最难以知道的或不是因为使用TLS键和证书而酝酿而不是混乱,”Bocek说。

“安全团队需要用易于使用的自动化保持Devops安全,以消除复杂性,”他说。

符合必要的团队,以支持Devops的快速简便的方式遵守公司安全政策,Venafi向其信任保护平台推出了一个效用。

“这代表了安全团队的心态变化,因为”快速而容易“不是自然而然的,”Bocek说。

Venafi实用程序旨在通过为Devops启用安全的TLS密钥和证书生命周期管理来解决TLS键和证书的问题。

根据Bocek的说法,Venafi决定解决关于Devops Security的这种特殊挑战,因为开发人员在这方面没有太多的专业知识和指导,特别是在虚拟环境的背景和容器的使用情况下。

要利用该实用程序,一旦下载并添加到Venafi的信任保护平台,所有Devops团队都需要为其软件添加单一的代码。

这意味着Devops团队可以专注于加快持续的开发和部署,而安全团队具有完整的可见性,可以保持Devops环境安全并符合要求。

根据Venafi的说法,该实用程序旨在在前提和云端的盒子上工作,具有领先的自动化,管弦乐流和集装箱化平台,包括木偶,厨师,码头,Terraform,Saltstack和Angible。

通过自动化进程,DevOPS团队不需要担心如何获取,安装和使用键和证书的详细信息。

与此同时,Venafi表示,IT安全策略是强制执行的,并且有完整的可见性,并且因为仅发出可信键和证书,因此快速检测到任何异常。

“如果我们要解锁Devops的承诺,请找到提供安全性的方法是至关重要的。Venafi正在帮助IT安全团队使Devops快速且容易使用TLS键和证书,“Bocek说。

Bocek表示,安全团队和Devops团队需要找到更紧密地工作的方法,以最大限度地减少安全漏洞,特别是当世界移动更多加密时。

“如果Devops正在切换加密以满足政府要求,例如在英国推出的那些,安全团队需要确保他们能够监控那些用于恶意活动的渠道。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。