別讓安全問題拖慢了 DevOps！

DEVSECOPS 所面臨的挑戰

敏捷開發和 DevOps 方法的出現使軟件開發的速度與質量都有所提高，但它們不經意地也爲安全機構增壓很多。從前的安全策略是基於靜態數據的，而在產品上線前才應用這些策略，或手動調整規則，會使設定策略的時間很是緊張，從而影響到發佈產品的質量，增長出錯的風險，拖慢整個 DevOps 週期。同時，使用 DevOps 配置工具來設定安全策略，也會使公司暴露於風險之中，由於這些工具都缺乏臨界控制，同時沒法集成到安全架構的其餘部分中去。

CLOUDPASSAGE 公司的 HALO CloudPassage® Halo® 則能夠解決這些困難。它爲安全團隊和 DevOps 團隊提供了一個敏捷的、安全的合規平臺。這個平臺能夠跨越任何雲以及虛擬設施開展工做，包括公有云、私有云、混合雲、多重雲、以及虛擬數據中心，甚至還包括裸機。這是一個獨一無二的平臺，用戶能夠在平臺上不間斷的觀察並管理本身的系統。所以，這個平臺支持當即響應和快速部署，同時也是徹底自動化的。平臺規模也可大可小。Halo 平臺提供安全自動化的解決方案，並可與 Chef、Puppet 和 Ansible 這類配置工具相整合。

如今，安全能夠參與到 DevOps 週期中去了，從開發、測試、到產品上線，而且絕不影響 DevOps 原有的速度與敏捷性。如今，安全策略的制定基於應用的邏輯組合，而再也不是靜態網絡參數了，這自動保護了新的負載。經過這種方式，用戶能夠在開發階段就應用多層保護策略，而沒必要等到最後時刻。

CloudPassage Halo 的用戶經過一個簡單的交互界面，就能夠全方位觀察他們的系統。這些軟件如此輕量級，且徹底無干擾，所以能夠被部署到任何服務器實例，任何地方。軟件的部署是經過配置工具來完成的，支持手動或使用腳本部署，即使是部署在運行中的系統裏，也無需重啓系統。經過 Halo，您能夠管理動態負載防火牆、接收關鍵安全事件報告、檢測到全部系統中新發現的安全漏洞、發現錯誤的配置、同時當負載被篡改時收到告警。

產品特性

• 配置安全監控：幾秒鐘以內便可基於最新的配置策略完成對新的和被從新激活的服務器的評估，幾乎不佔用 CPU 。 Halo 可自動監控操做系統和應用的配置、進程、網絡服務和用戶權限等等。

• 多重網絡身份驗證：隱藏服務器端口使其更加安全，同時容許受權用戶有須要時臨時訪問服務器。對於遠程網絡訪問，無需額外的軟件或設置，Halo 自帶雙重驗證功能（經過向手機發送 SMS，或使用 YubiKey®）。

• 軟件漏洞評估：幾分鐘以內就完成對大量服務器配置點的掃描，時刻觀察服務器是否暴露。在您的全部雲環境中，Halo 可自動檢測出軟件包的漏洞。

• 動態負載防火牆管理：可在任何雲環境輕鬆部署並管理動態防火牆規則。經過一個簡單的 Web 界面創建防火牆規則，而後分配到各組服務器。當增減服務器、更改 IP 地址時，防火牆規則可自動更新。

• 文件完整性監測：持續監控您的雲服務器，保護重要的系統二進制文件和配置文件不會受到未經受權的或惡意的變動。Halo 首先會記錄下雲服務器系統的「清潔」狀態，做爲基準。接着它會按期掃描各個服務器實例，將掃描結果與基準比對。任何不一致都會被記錄下來，並報告給相關的管理員。

• 服務器訪問管理：輕鬆識別無效和過時帳號。Halo 幫您瞭解各個帳號可訪問的服務器、帳號的操做權限以及帳號的使用記錄。您能夠經過一個在線管理控制檯，監控全部的雲服務器。

• 事件記錄與告警：輕易管理並檢測一系列事件及系統狀態。有了 Halo，您能夠定義哪些事件值得記錄或告警、事件的嚴重程度、以及接收告警的人員名單。

配置工具服務

CloudPassage Halo 旨在創建一個抽象化、自動化、可與配置工具集成、自動擴展而且支持 API 的平臺，這些都是保護動態雲設施所必備的基本要素。客戶可經過 Halo 的界面或其餘流行的配置工具，徹底自動地實現安全策略設定。

可集成性

CloudPassage Halo 平臺支持開放的、RESTful API，所以能夠輕鬆與多種安全和操做解決方案相集成。 歡迎登陸咱們的網站，查看最新的已完成的集成測試名單。

原文地址：http://note.youdao.com/share/web/file.html?id=458a50c56f02096a6d24f9e3d0e94c5c&type=note

現在，多樣化的攻擊手段層出不窮，傳統安全解決方案愈來愈難以應對網絡安全攻擊。OneRASP 實時應用自我保護技術,能夠爲軟件產品提供精準的實時保護，使其免受漏洞所累。想閱讀更多技術文章，請訪問 OneAPM 官方技術博客。
本文轉自 OneAPM 官方博客