通过拥有黄金映像,将建立一个流程,能够在组织内发现漏洞时快速采取行动。
今天,我们发现自己使用云原生技术在许多方面提高灵活性、扩展性和成本节约。使用 IaaS 的现代云堆栈将硬件维护组件抽象化,只剩下上面的一切,例如操作系统和软件。
长期以来,黄金图像一直是实践中使用的一个简单概念。这让人想起了每个人都看到和知道的 AOL 营销活动。其概念是每年都会在邮件中出现一张带有版本号的新CD,人们将CD中的软件安装到他们的PC上的时代。想象一下人类已经走了多远,真是太神奇了。我们的想法是知道有一个已知的好版本已经过批准和测试,预先捆绑,所以不需要从外部来源下载,尤其是在慢速拨号互联网连接上。
关于创建黄金映像的最佳方式、如何维护它们以及涉及的软件(如 AWS 映像生成器、Terraform 或 Packer)存在很多争论。一种想法是使它们尽可能简单,以便它们具有广泛的兼容性并且可以由下游系统配置。另一方面是尽可能多地预先配置它们以加速构建并删除下载的依赖项。这是您在映像构建和部署过程中可能拥有的典型工作流程。
为简单起见,我将重点关注上图中定义的第一个构建步骤。第一个构建是基础,为所有其他应用程序奠定了基础。选择将长期支持的信誉良好的官方图像。希望确保运行时安装正确并且映像已根据需要进行强化。此外,将下载、签署和版本化图像,以减少对第三方托管服务器的依赖并最大限度地减少源代码劫持线程。此外,考虑包括这三个方面,以帮助从一开始就增强图像并最大程度地减少配置漂移。
日志记录代理配置——日志对于监控进程、崩溃和希望默认打开的任何其他内容非常重要。
遥测代理——组织需要了解集群的健康状况,因此必须收集可靠的遥测数据并将数据发送到某处进行处理。这对于以后的安全和故障排除都是至关重要的。
安全代理——根据环境设置方式,可能需要考虑在此级别使用安全代理以确保每个端点都受到监控。这里的考虑是关键。
图像可以在组织内泛滥成灾,通常根据每个团队的需要有不同的风格。在安全性方面,变更管理是 NIST 800-53 以及其他系统框架的关键部分。为了成功构建黄金构建,需要确保涵盖以下内容:
-
组织接受的批准的基线配置
-
使用内置软件作为第一选项的默认规则
-
期望定期进行安全和功能升级
-
将管道升级到最新版本的过程
-
在标准时间线上淘汰旧图像并推广新图像
保护供应链的一部分意味着公司需要知道在发现问题时如何解决问题。拥有SBOM或其他清单列表是一个很好的起点,但在发现漏洞时能够采取行动是第二部分。通过拥有一个黄金映像或一组已知的黄金映像,将可以建立一个流程,能够在组织内快速修复和部署。
原文始发于微信公众号(祺印说信安):软件供应链:黄金集装箱船
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论