云中的连续监测

责任编辑：cres 作者：Michael Pitcher |来源：企业网D1Net 2018-07-12 13:19:28 原创文章企业网D1Net

Coalfire公司技术网络服务副总裁Michael Pitcher最近在云计算安全联盟举办的美国联邦峰会上发表了题为“云中持续监控/持续诊断和缓解(CDM)概念”的演讲报告。随着美国政府部门将其工作开始迁移并将继续迁移到云端，在这种环境中实现持续的监测目标变得越来越重要。具体而言，云计算可以是高度动态的，缺乏持久性，因此用于内部部署解决方案的传统连续监控方法并不能总是在云端使用。

Coalfire公司参与了为各种机构实施持续诊断和缓解(CDM)服务，并且是最大的第三方评估机构(3PAO)，它开展了更多的FedRAMP授权，能够帮助客户思考这一挑战。但是，这些概念和挑战并不是作为持续诊断和缓解(CDM)计划一部分的政府机构所独有的，他们还将在其他政府和国防部社区以及商业实体进行转化。

美国国土安全部(DHS)持续诊断和缓解(CDM)计划的第一阶段主要侧重于静态资产，并且大部分都排除了采用云计算。它以建立和了解库存为中心，然后可以每隔72小时进行一次扫描，其目标是确定资产是否被授权在网络上、正在被管理，以及是否安装了易受攻击和/或配置错误的软件。随着云计算成为下一轮持续诊断和缓解(CDM)计划的一部分，了解如何适应这些目标的方法非常重要。

云计算服务可以动态分配、使用和取消分配资源，以满足高峰需求。几乎任何系统都需要比其他系统更多的资源，而云计算允许计算、存储和网络资源随着这种需求而扩展。例如Coalfire公司提供了一个安全解析工具(Sec-P)，可以通过计算资源处理丢弃到云存储桶中的漏洞评估文件。计算资源仅在处理文件时存在几秒钟，然后被拆解。诸如此类的示例以及无服务器架构挑战了传统的连续监视方法。

但是，潜在的解决方案在那里，包括：

•采用内置服务和第三方工具

•部署代理

•利用基础设施作为代码(IaC)审核

•使用抽样进行验证

•开发自定义方法

采用内置服务和第三方工具

动态云计算环境强调执行主动和被动扫描以构建库存的不足之处。在采用传统扫描工具评估资产之前，除了可以监控资源变化的服务之外，每个主要云计算服务提供商(CSP)和许多规模较小的云计算提供商都需要提供库存管理服务，例如AWS系统管理器库存管理器和Cloud Watch，微软的Azure资源管理器和活动日志，以及谷歌的资产库存和云计算审计日志。还可以使用高质量的第三方应用程序，其中一些甚至已经获得FedRAMP授权。无论使用何种服务和工具，这里的关键是将它们与现有持续诊断和缓解(CDM)方案或连续监控解决方案的集成层连接起来。这可以通过API调用进出解决方案，这可以通过当前的持续诊断和缓解(CDM)程序要求实现。

部署代理

对于具有一定程度持久性的资源，代理是执行连续监视的好方法。代理可以与主机一起检查以维护库存，并在资源启动后执行安全检查，而不必等待扫描。代理可以作为构建过程的一部分安装，甚至可以作为部署映像的一部分。与控制代理并与库存进行比较的主节点连接是执行基于云计算的不良资产检测的一种很好的方式，这是持续诊断和缓解(CDM)的要求。本地使用的这个概念实际上是关于发现未经授权的资产，例如插入开放网络端口的个人笔记本电脑。在云中，所有的问题都是从已经批准的配置中查找出不符合安全要求的资产。

对于以前的示例中的Coalfire Sec-P工具这样的资源，它在90%以上的时间里作为代码存在，人们需要以不同的方式思考。代理方法可能不起作用，因为计算资源可能不会存在足够长的时间甚至无法与主机连入，更不用说执行任何安全检查。

基础设施作为代码审查

IaC用于部署和配置计算、存储和网络等云计算资源。它基本上是一组“编程”基础设施的模板。它不是云计算的新概念，但云中环境变化的速度正在将IaC带入安全焦点。

现在，人们需要考虑如何对构建和配置资源的代码进行评估。如何做到这一点有很多工具和不同的方法。应用程序安全性并不是什么新东西，当人们认为它是对基础设施进行持续监控的一部分时，它必须重新检查。好消息是IaC使用结构化格式和常用语言，如XML、JSON和YAML。因此，可以使用工具甚至编写自定义脚本来执行审阅。这种结构化格式还允许对配置进行自动和持续监控，即使资源仅作为代码存在而且不是应用。考虑使用资源的软件是什么也很重要，因为利用的软件包必须包含没有漏洞的最新版本。代码应在更改时进行安全审核，因此可以持续监控已批准的代码。

设置资产到期是在利用IaC的高DevOps环境中强制执行持续诊断和缓解(CDM)主体的一种方法。持续诊断和缓解(CDM)的目标是每72小时评估一次资产，因此人们可以在时间范围内将它们设置为过期(因此被拆解，因此需要重建)，以了解它们是否在使用经过批准的代码构建的新基础设施上。

采样

采样应与上述方法结合使用。在资产总数总是在变化的动态环境中，应该有一个坚实的团队核心，可以通过传统的主动扫描方式进行扫描。人们只需要接受无法扫描完整的库存。与总资产相比，应该有更少的配置文件或“黄金图像”。而这种想法是，如果人们在任何给定扫描中都能获得至少25%的每个配置文件，那么很有可能将找到同一配置文件的所有资源上存在的所有错误配置和漏洞，或识别资产迁移。这足以识别系统性问题，例如错误的部署代码或使用过时软件创建的资源。如果人们在配置文件中查找与同一配置文件中的其他配置文件存在较大差异的资源，则表明需要解决的DevOps或配置管理问题。在这里，并没有放弃拥有完整库存的概念，只能接受确实没有这样的事实。

专门为执行安全测试而构建IaC资产也是一个很好的选择。这些资产可以具有持久性并“注册”到持续监控解决方案中，以通过仪表板或其他方式以类似于本地设备的方式报告漏洞。而漏洞总数是在这些样本资产上找到的数量乘以应用那些资产的数量。如上所述，人们可以从云计算服务商提供的服务或第三方工具中获取。

自定义方法

如今，有许多不同的云计算服务商可用于无限的基于云计算的可能性，并且所有云计算服务商都有各种服务和工具可供他们使用。这里所评论的是高级概念，但每个客户都需要根据其用例和目标了解详细信息。

关键字：云计算