当前位置： →
如何在AWS中落实安全运维管理
安全在传统上总是被当成软件开发过程中&事后再想&的部分。但人人闻之色变Heartbleed漏洞及其相关的补丁困难使安全性被推到了最前线。而一个使用安全运维管理，或SecOps的安全软件开发周期方式将可以加强AWS应用的安全性。
SecOps方法就有如DevOps原则一样，促进了开发者和运营之间更好的沟通，只是对应的是安全方面，Todd Vernon，一家DevOps工具供应商VictorOps的CEO说道。DevOps允许IT团队能够在部署云应用至生产前快速做出改动。但这也产生了显著的安全问题。
&过去，你可能三不五时会进行一次安全审计。但现在这能有什么用?&Vernon问道。安全运营管理即是不断的开发，测试和监测系统中威胁的过程。它也提供了对于DevOps的相互制衡。
将安全融于设计之中
&将安全性从一开头就放在设计里很关键，&David Eads，安全咨询公司Mobile Strategy Partners的CEO说道。&如果安全只是事后再想的问题，那真正的安全是没希望了。&对于基于云的环境来说更是放大了这种情形，他补充道。
在云里，新的漏洞可以很快补上。云配置脚本可以确保修复会快速的散播到所有其他受影响的环境，这样漏洞不会再度发生。云也使得寻找类似问题，修复相关脚本，和可能与此相关但是不同问题的安全环境变成可能。
&IT人员在传统环境下不可能做到这样的事，&Eads说道。如果某个组织有着反应式的软件开发文化，那它多半会先遭受近乎灾难的结果，然后才能严肃的考虑安全性的问题，而这些有时候已经太迟了。
&Code Spaces就是个很好的例子，&Sirish Raghuram，私有云基础架构供应商Platform9的CEO说道。&他们在他们的Amazon(Web服务)帐号中漏掉某些非常基本的安全防范措施，而他们再也没得到过第二次机会。你需要在组织里有某个有影响力的人，这人必须毫不迟疑的坚持改革，而不是等到一切都太迟了。&
那些在他们的开发过程中细密的罗织安全编程习惯的组织，多半对于安全性有着比较正确的观点，Zulfikar Ramzan，基于云SecOps供应商Elastica的CTO说道。虽然事后的安全测试是有价值的，但它永远无法揭露出底层真正的问题。
比如说，Heartbleed bug的严重性非常惊人。但是，多年来大家却对它视而不见。这个挑战部分存在于各种开发过程是依靠一个相当复杂的拼凑起来的东西来互相连接的。其中一个如果改动，就算这个改动看似无害，却可以在下游过程中造成大灾难。此外，顾客会要求云服务提供安全编程习惯的证明，Ramzan说道。那些企业们将处理他们数据的大任托付给厂商，自然必须加大保证的力度来确保该厂商正在以合理，安全和理智的方式来达成这件事。2014年的网络供应链管理和透明度法案强制要求所有的云服务供应商，例如AWS，将已知的漏洞对政府客户公布。
改善安全工程
一开始就将设计中的漏洞处理好是不可或缺的。在这些安全问题还在代码阶段的时候就处理掉对于预防跨站式脚本攻击、SQL注入和其他已知漏洞是更有效的，Mark Patton，一家反恶意软件供应商Malwarebytes的工程副总裁说道。而了解对于基于云系统对比本地系统的最佳实践常常是个挑战。
那些采用设计后安全编程实践的组织应该遵循以下的建议来更好保证你们的环境不会产生漏洞：
考虑API表面的安全性就跟保护网页一样重要
查看云平台安全性、AWS虚拟私有云布局和使用AWS安全组
讨论认证的技术(用户名和密码、令牌、双重认证等等)
不要将密码凭证嵌入代码，这会将它们泄漏给用户
使用基于角色的&需要知道&或&需要访问&来架构云资源的访问
一个成功且安全的组织会为团队提供围绕安全性，以及功能和进度的激励。企业应该将安全性包括在成功的定义中作为第一要素，并且从第一天起就被当作每个人的任务。
认清战术上的障碍 确保安全开发
过渡到安全的开发生命周期绝不简单。根据以安全为基础的安全供应商Veracode的说法，公司要创建一个具有安全意识的企业文化，必须克服一些战术上的障碍。
创建扩展的测试方法。随着组织向敏捷化的迁移和持续部署，他们需要自动化的可以和已有流程整合的测试方法。
提供对开发人员有用的结果。一个手动测试(和某些自动化测试的结果)的缺点是很难给出有用的信息可以让开发人员解决问题。代码行数的报告比起不包括到底哪里出错的诊断信息的漏洞类型报告更有用。
雇佣足够的人才。要将安全贯彻到软件开发中并且在过程中带动开发人员一起需要专业的技能。对大多数组织来说，市场上没有足够的拥有正确技能的人来让一个程序规模化的运行。
规划安全架构
组织需要将安全架构、设计审查、代码审查和安全测试、同漏洞管理和环境硬化结合起来，Sachin Agarwal，SOA Software的产品市场和战略副总裁说。市场上有几种工具可以加强敏捷性管理来确保在设计、开发和应用服务运维过程中的最佳实践。
单单只依赖工具是不够的，工具可以给予IT团队一种错误的安全感，Patton说。一致的定期的使用工具分析和审核代码是安全编程的重要部分。但是使用类似AWS，VPC这样的工具和AWS安全组对于那些利用了应用程序正常工作而必须打开的端口的漏洞是没有效果的。Patton补充道。程序员还必须要记住他们编写的软件是运行在客户的机器上，可以被直接攻击。
关注官方微信
扫一扫分享本文到朋友圈
联系我们：
&(发送邮件时，请把#换成@)
投稿信箱：
&(发送邮件时，请把#换成@)
企业网版权所有当前位置是：
江苏洪泽供电公司：强化设备运维安全管理
发布时间： & 来源：本站编辑
　　4月22日，江苏洪泽县供电公司组织人员对110kV黄集变、洪泽变各设备运行情况、消防器材进行“地毯式”检查，及时消除安全隐患。这是该公司强化运维管理，及时消除安全隐患，确保电网安全稳定运行，为广大用户提供有力的电力保障的缩影。　　为及时消除输变电设备安全隐患，提高电网安全运行水平，该公司针对季节、气候特点加强安全隐患排查治理工作，密切监控设备健康运行状况，深入推进输变电设备深度隐患排查治理和变电站标准化建设工作，加强防污闪、防鸟害等专项治理措施的落实，提升电网安全运行水平。同时针对气候特点制定防范措施和应急预案，加强输变电设备特巡检查，重点检查主变、断路器、隔离刀闸、重要供电线路等运行情况，认真梳理排查安全隐患，对查出的安全隐患及时进行消除，使输变电和输配电线路设施保持在健康状况下运行，实现零缺陷目标，确保供电安全性、可靠性和稳定性。　　此外，该公司还有针对性地对辖区高危客户、重要客户开展供用电安全体检，彻底清除客户用电设备“亚健康”，并帮助客户制定和完善供用电应急预案，及时为高危及重要客户把好用电安全关，确保电网安全可靠运行。（江苏洪泽县供电公司：明俊、卢旭）
&&&&&&关键词：
相关新闻：
&&图片新闻
电话：010-
电话：010-
电话：010- 上传我的文档
 下载
 收藏
该文档贡献者很忙，什么也没留下。
 下载此文档
正在努力加载中...
集中安全运维管理平台(4a)方案交流
下载积分：2000
内容提示：集中安全运维管理平台(4a)方案交流
文档格式：PDF|
浏览次数：11|
上传日期： 21:58:09|
文档星级：
该用户还上传了这些文档
集中安全运维管理平台(4a)方案交流
官方公共微信您的位置： &
数据运维向管理要安全
优质期刊推荐}