每屆RSA大會(huì)的創(chuàng)新沙盒環(huán)節(jié)都可謂萬(wàn)眾矚目。創(chuàng)新沙盒的初衷是為網(wǎng)絡(luò)安全領(lǐng)域的初創(chuàng)企業(yè)提供平臺(tái)，讓他們展示自己的創(chuàng)新技術(shù)或愿景，以及他們可能為信息安全行業(yè)帶來(lái)的變革與發(fā)展。

2019年，入圍RSA大會(huì)創(chuàng)新沙盒“十強(qiáng)”的企業(yè)將在3月4日的大會(huì)現(xiàn)場(chǎng)各自進(jìn)行3分鐘左右的展示并回答委員會(huì)的問(wèn)題。評(píng)委包括行業(yè)投資專家、網(wǎng)絡(luò)安全專家、網(wǎng)絡(luò)安全公司的CEO、企業(yè)CISO、行業(yè)顧問(wèn)等。為了幫助大家了解這十家企業(yè)，綠盟科技推出了系列文章，今天為大介紹的的是DisruptOps公司。

公司介紹

DisruptOps Inc.成立于2014年，位于密蘇里州堪薩斯城，該公司致力于通過(guò)為多云基礎(chǔ)設(shè)施提供自動(dòng)化的防護(hù)來(lái)提升云操作的安全性，實(shí)現(xiàn)對(duì)云基礎(chǔ)設(shè)施的持續(xù)檢測(cè)和控制。2018年10月，公司獲得了由Rally Ventures領(lǐng)投的250萬(wàn)美元的種子輪融資。

背景介紹

近年來(lái)，公有云在國(guó)外得到快速發(fā)展，大量中小公司開(kāi)始積極擁抱云計(jì)算。然而，公有云服務(wù)商的技術(shù)能力、安全水平始終成為客戶上云非常大的顧慮。在這樣的背景下，多云(Multi-Cloud)架構(gòu)成為云計(jì)算IT架構(gòu)的下一個(gè)飛躍，在多云架構(gòu)下，用戶同時(shí)使用多個(gè)公有云提供商和內(nèi)部私有云資源來(lái)實(shí)現(xiàn)業(yè)務(wù)目標(biāo)?？捎行岣吖性苹A(chǔ)設(shè)施可用性，且降低廠商鎖定(Vendor Lock-in)的風(fēng)險(xiǎn)。

然而，管理多個(gè)云環(huán)境的運(yùn)營(yíng)團(tuán)隊(duì)面臨大規(guī)模和復(fù)雜的云環(huán)境，將很快導(dǎo)致運(yùn)營(yíng)成本不斷上升;此外，敏捷開(kāi)發(fā)也為越來(lái)越多的開(kāi)發(fā)團(tuán)隊(duì)所親睞，云中開(kāi)發(fā)、運(yùn)營(yíng)復(fù)用的系統(tǒng)將越來(lái)越多，DevOps將成為新的云應(yīng)用常態(tài)，那么不同環(huán)境中的配置不一致會(huì)導(dǎo)致安全風(fēng)險(xiǎn)的顯著增加。常見(jiàn)錯(cuò)誤包括存儲(chǔ)系統(tǒng)的數(shù)據(jù)被非授權(quán)訪問(wèn)、錯(cuò)誤配置的安全組導(dǎo)致的內(nèi)部網(wǎng)絡(luò)可被外部訪問(wèn)，以及過(guò)度分配的資源所導(dǎo)致的資金浪費(fèi)。例如2017年曝光的美國(guó)陸軍及NSA情報(bào)平臺(tái)將絕密文件放在可公開(kāi)訪問(wèn)的Amazon S3存儲(chǔ)桶中，這個(gè)錯(cuò)誤配置的S3存儲(chǔ)桶，只要輸入正確的URL，任何人都能看到AWS子域名“inscom”上存儲(chǔ)的內(nèi)容。這包含有47個(gè)文件和目錄，其中3個(gè)甚至可以任意下載。

如果通過(guò)手動(dòng)操作的方式來(lái)應(yīng)對(duì)這些挑戰(zhàn)，效率低下且無(wú)效。DisruptOps通過(guò)實(shí)施可自定義的優(yōu)秀實(shí)踐庫(kù)來(lái)確保一致性和安全性，從而使DevOps團(tuán)隊(duì)能夠快速無(wú)風(fēng)險(xiǎn)地遷移，從而實(shí)現(xiàn)云管理的自動(dòng)化。

產(chǎn)品介紹

該公司推出的基于SaaS的云管理平臺(tái)，實(shí)現(xiàn)對(duì)云基礎(chǔ)設(shè)施的自動(dòng)控制。通過(guò)持續(xù)評(píng)估和執(zhí)行安全、運(yùn)營(yíng)和經(jīng)濟(jì)的防護(hù)欄，企業(yè)可以在保持運(yùn)營(yíng)控制的同時(shí)，可以安全的享受云計(jì)算提供的靈活性，速度和創(chuàng)新等好處。

安全防護(hù)欄(Security Guardrail)

DevOps的模式促使開(kāi)發(fā)團(tuán)隊(duì)和運(yùn)營(yíng)團(tuán)隊(duì)能夠更快地行動(dòng)、更快地部署和更快地適應(yīng)。因此，安全問(wèn)題不能妨礙或減慢整個(gè)DevOps進(jìn)程。安全防護(hù)欄會(huì)自動(dòng)執(zhí)行安全優(yōu)秀實(shí)踐，不僅可以發(fā)現(xiàn)錯(cuò)誤配置，而且通?？梢栽诎l(fā)現(xiàn)問(wèn)題之前修復(fù)它們。這樣使得DevOps團(tuán)隊(duì)能夠在沒(méi)有風(fēng)險(xiǎn)的情況下快速執(zhí)行。

具體包括：

(1)身份管理。確保身份策略在整個(gè)云中保持一致，從而消除過(guò)多的權(quán)限問(wèn)題。

例如，在S3、EC2的服務(wù)中，實(shí)現(xiàn)對(duì)需要具有API和命令行訪問(wèn)權(quán)限的控制臺(tái)用戶的MFA管理;刪除未使用的IAM用戶和角色;刪除過(guò)多的特權(quán);刪除未使用的默認(rèn)VPCs等。

(2)監(jiān)控。確保在多個(gè)帳戶中一致的設(shè)置日志記錄和告警，確保所有云活動(dòng)的完全可見(jiàn)。

例如，提供優(yōu)秀安全實(shí)踐的配置;設(shè)置AWS Log Rotation和Archiving;實(shí)施集中式的配置監(jiān)控;實(shí)施集中式的告警;創(chuàng)建安全組更改的告警等。

(3)網(wǎng)絡(luò)安全。管理適當(dāng)?shù)木W(wǎng)絡(luò)訪問(wèn)策略，確保正確配置安全組以最小化攻擊面。

例如，鎖定默認(rèn)的安全組;鎖定安全組到當(dāng)前配置;評(píng)估或限制VPC peering;尋找具有過(guò)多權(quán)限的安全組;啟用VPS流量日志等。

(4)存儲(chǔ)安全。確保通過(guò)自動(dòng)執(zhí)行基于策略的標(biāo)記、訪問(wèn)和加密規(guī)則來(lái)保護(hù)存儲(chǔ)的關(guān)鍵數(shù)據(jù)。

例如，限制S3 Bucket到已知的IP地址;識(shí)別沒(méi)有合適標(biāo)簽的S3 Buckets;識(shí)別公共S3 Buckets;使用KMS Keys加密S3 Buckets等。

運(yùn)營(yíng)防護(hù)欄(Operations Guardrail)

成熟的云組織在其所有云環(huán)境中實(shí)施共享服務(wù)，包括監(jiān)控/日志記錄、IAM和備份等。運(yùn)營(yíng)防護(hù)欄可以實(shí)現(xiàn)這些共享服務(wù)的優(yōu)秀操作實(shí)踐，而不需要腳本或任何其它本地的解決方案。

例如，雖然AWS允許用戶在控制臺(tái)中更改資源的類型和大小，但這些都不是以編程的方式提供，使用Trinity API就可以直接的調(diào)整資源。

再比如，通過(guò)標(biāo)記的方式，用戶可以按照計(jì)劃自動(dòng)化的對(duì)實(shí)例進(jìn)行快照制作備份，同時(shí)還可以將較舊的快照遷移到Glacier，以節(jié)省成本。

經(jīng)濟(jì)防護(hù)欄(Economic Guardrail)

通常，開(kāi)發(fā)團(tuán)隊(duì)會(huì)將更多的精力致力于如何更好的構(gòu)建并快速的部署相關(guān)的應(yīng)用。然而，卻很少會(huì)有明確的意識(shí)，在資源不使用時(shí)主動(dòng)的去關(guān)閉它們，這樣就會(huì)造成云成本的失控。經(jīng)濟(jì)防護(hù)欄使用預(yù)先構(gòu)建的策略，自動(dòng)化的關(guān)閉不需要的云資源，在不影響開(kāi)發(fā)人員效率或需要本地腳本的情況下節(jié)省用戶的資金。

例如，可以通過(guò)標(biāo)簽設(shè)置，在工作時(shí)間之外關(guān)閉開(kāi)發(fā)實(shí)例和其它一些不用的實(shí)例，以節(jié)約成本;可以調(diào)整自動(dòng)縮放配置，以減少非工作時(shí)間的成本;根據(jù)實(shí)例的具體資源利用率，調(diào)整實(shí)例的大小，實(shí)現(xiàn)成本的降低;分析S3的存儲(chǔ)Buckets使用情況，并將其優(yōu)化到正確的存儲(chǔ)層，以降低成本等。

產(chǎn)品特征

無(wú)論云的規(guī)模大小如何，DisruptOps云管理平臺(tái)都能及時(shí)發(fā)現(xiàn)并修復(fù)安全、運(yùn)營(yíng)和成本管理問(wèn)題?？偨Y(jié)起來(lái)包括以下幾點(diǎn)特征。

(1) 持續(xù)評(píng)估。

開(kāi)發(fā)人員不斷地對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行迭代改變，運(yùn)營(yíng)團(tuán)隊(duì)不斷地進(jìn)行相關(guān)的更新。每做一次更改，都會(huì)有違反公司安全策略和偏離優(yōu)秀實(shí)踐的風(fēng)險(xiǎn)。因此，需要持續(xù)監(jiān)控和評(píng)估環(huán)境，進(jìn)而發(fā)現(xiàn)違規(guī)行為，然后采取各種行動(dòng)。

DisruptOps維護(hù)所有云平臺(tái)的多帳戶資源，可以為這些資源進(jìn)行標(biāo)記分配，并支持基于標(biāo)記的單獨(dú)策略。例如，用戶可以針對(duì)開(kāi)發(fā)和生產(chǎn)環(huán)境，實(shí)現(xiàn)不同的安全策略。DisruptOps允許開(kāi)發(fā)人員快速進(jìn)行遷移，而運(yùn)維團(tuán)隊(duì)可以快速的實(shí)施優(yōu)秀實(shí)踐。

(2) 自動(dòng)執(zhí)行

DisruptOps在識(shí)別到問(wèn)題之后，可以自動(dòng)化的提供許多補(bǔ)救方案。通過(guò)自動(dòng)化的執(zhí)行更改，將環(huán)境恢復(fù)到優(yōu)秀實(shí)踐配置。DisruptOps的防護(hù)檢測(cè)配置，與運(yùn)維團(tuán)隊(duì)為實(shí)施策略而構(gòu)建的許多腳本不同，這是經(jīng)過(guò)生產(chǎn)測(cè)試和自動(dòng)化維護(hù)的。

(3) 護(hù)欄而不是攔截

實(shí)現(xiàn)云安全的一個(gè)重要的宗旨就是：需要保護(hù)公司數(shù)據(jù)，并執(zhí)行安全策略和最佳實(shí)踐，但不要減慢DevOps進(jìn)程。護(hù)欄不會(huì)阻擋活動(dòng)，而是按預(yù)期執(zhí)行安全策略，用戶可以為不適用的資源設(shè)置白名單和黑名單。

例如，如果為安全組打開(kāi)了管理員訪問(wèn)權(quán)限，那么就不會(huì)阻止管理員對(duì)這個(gè)安全組范圍的訪問(wèn)。相反，DisruptOps將策略設(shè)置為只允許來(lái)自授權(quán)公司IP范圍的連接。同樣，如果管理員帳戶需要MFA(AWS Multi-Factor Authentication，多因子認(rèn)證)并且該帳戶已關(guān)閉，而不是阻止所有訪問(wèn)(并使管理員脫機(jī))，則DisruptOps會(huì)將策略重置為需要MFA。

(4) DevSecOps的優(yōu)秀實(shí)踐方式

當(dāng)前，在DevOps過(guò)程中添加“Sec”需要大量手工工作來(lái)構(gòu)建、測(cè)試和維護(hù)腳本。使用DisruptOps Guardrails，無(wú)需編程，通過(guò)一鍵式處理進(jìn)行配置，并通過(guò)直觀的用戶體驗(yàn)來(lái)實(shí)施和管理Ops。DisruptOps提供報(bào)告并支持基于角色的訪問(wèn)控制，以確保只有授權(quán)方才能對(duì)其管理的云進(jìn)行更改。

(5) 支持云計(jì)算的優(yōu)秀實(shí)踐

DisruptOps可以幫助用戶實(shí)施多帳戶管理策略，并提供Guardrails來(lái)遵循來(lái)自CIS等組織的云安全準(zhǔn)則和基準(zhǔn)。此外，DisruptOps的許多策略源于創(chuàng)始人的實(shí)際設(shè)計(jì)和架構(gòu)工作，他們擁有多年幫助客戶實(shí)施云安全建設(shè)和運(yùn)營(yíng)的經(jīng)驗(yàn)。

(6) 低權(quán)限原則

在DisruptOps中，最小特權(quán)的安全標(biāo)準(zhǔn)是宗旨。始終只為相應(yīng)操作分配所需的最少權(quán)限，然后在進(jìn)行更改后刪除這些權(quán)限。通過(guò)積極且持續(xù)地管理權(quán)限，確保不會(huì)因自動(dòng)化而在云安全和操作的關(guān)鍵方面而產(chǎn)生額外的攻擊面。

(7) 云原生

DisruptOps構(gòu)建于云中，用于云，并利用云優(yōu)秀實(shí)踐，包括多個(gè)帳戶組織、無(wú)處不在的加密、平臺(tái)即服務(wù)產(chǎn)品，并大量利用API、容器、微服務(wù)和功能即服務(wù)。這種方法既可以更大限度地減少應(yīng)用程序的攻擊面，又可以與云環(huán)境進(jìn)行即時(shí)集成。DisruptOps的創(chuàng)始人近十年來(lái)一直倡導(dǎo)云原生架構(gòu)的理念。

(8) SaaS交付

DisruptOps以SaaS服務(wù)交付，也就是說(shuō)用戶環(huán)境中無(wú)需安裝任何軟件。一鍵式配置流程和內(nèi)置的Ops庫(kù)，確保用戶不再需要投入資源來(lái)實(shí)施、構(gòu)建、更新、修補(bǔ)或重新調(diào)整護(hù)欄的大小。因此，用戶可以把精力放回到構(gòu)建、運(yùn)行云和DevOps的業(yè)務(wù)中。

總結(jié)

多云和敏捷開(kāi)發(fā)是云計(jì)算的熱點(diǎn)，DisruptOps以SaaS化的服務(wù)方式，通過(guò)對(duì)用戶的多個(gè)云資源進(jìn)行安全與操作問(wèn)題的快速檢測(cè)并自動(dòng)修復(fù)，一方面節(jié)省了客戶上云的成本，另一方面實(shí)現(xiàn)對(duì)云基礎(chǔ)架構(gòu)的持續(xù)安全控制，在安全、運(yùn)營(yíng)和成本等方面，給用戶帶來(lái)更大的收益。此外，借助自動(dòng)化和服務(wù)編排的技術(shù)，推動(dòng)云原生應(yīng)用和DevSecOps的落地。