大家好,欢迎来到这个环节。在今天的会议中,我们将讨论基于JFROG平台的AWS上的DevSecOps。我叫萨夫达尔·扎曼。我是AWS的一名技术客户经理,在IT治理、DevOps安全项目管理、云和数字化转型方面拥有20多年的经验。在今天的议程中,我们将讨论DevSecOps治理、安全基础设施自动化、CloudFormation公共注册中心、监控和日志记录、软件材料清单安全架构和一些文档参考。DevSecOps治理基本上是多个结构、策略和过程的组合,它基本上帮助我们驱动治理机制。DevSecOps治理是安全流程、程序、结构、规则和工具的组合,它们一起工作以提供和自动化可重复且安全的DevOps。
当我们谈论安全的DevOps策略和过程时,它们是这个实践的重要组成部分。当我们在AWS中部署管道时,我们有服务控制策略。服务控制策略提供对组织中所有成员帐户的最大可用权限的集中控制。例如,您可以限制您希望开发管道运行的区域。您可以限制希望开发人员操作的成员帐户中的实例类型。
我们还可以强制执行调控机制,比如,我们可以禁用成员帐户中的任何人关闭CloudWatch或CloudTrail。我们可以使用服务控制策略来实施标签,以便在整个组织中实现跟踪机制的统一和标准化。第二个重要的部分是规则,我们需要一个安全的DevOps。在AWS中,我们提供IM规则。当我们在管道中使用角色时,我们不必分发长期凭据,例如用户名和密码或访问密钥。简单地讲两个例子。这一切都由角色承担,角色提供临时权限,应用程序在调用其他AWS资源时可以使用这些权限。2022世界杯阿根廷预选赛赛程
我们需要有DevOps开发人员角色、DevOps、DevSecOps架构师角色和DevOps工程师角色。基于最佳实践,我们的体系结构必须是安全的,以便在我们的体系结构中启用所有这些护栏和最佳实践。我们的管道需要有质量、功能安全测试和监控支持。当我们谈到AWS CloudWatch、Conflig和CloudTrail时,这些服务为我们提供了非常详细和全面的资源视图。2022世界杯阿根廷预选赛赛程我们可以创建实时或接近实时的警报。我们可以为SNS服务创建通知,然后将其级联到其他AWS服务,如SQSQ或Lambda函数。我们已经完全构建了代码管道、代码提交、代码构建和代码部署。作为AWS的一部分,
我们完全支持JFROG Artifactory和KFROG Xray。JFROG是一个企业存储库管理器,它支持Kubernetes,并支持容器、dockers和Emchar。x射线是JFROG系统的重要组成部分。x射线与JFROG Artifactory一起工作,执行二进制软件组件的通用分析。在应用程序生命周期的任何阶段,AWS都提供快速支持,快速启动,它将KFROG Artifactory和Xray部署在亚马逊虚拟私有云负载均衡器上,以非常高、有价值和有弹性的方式部署在三个网络网关上。
DevSecOps基础设施自动化是DevOps安全的重要组成部分。对于配置管理,我们有一个AWS冲突服务,它提供了DevOps管道中使用的AWS资源配置的详细视图。2022世界杯阿根廷预选赛赛程该服务为我们提供了一个视图,了解资源是如何相互关联的,它们是如何配置的,以及它们2022世界杯阿根廷预选赛赛程的历史变化情况。AWS Config可以根据内部牵引实践、行业指南和法规评估跨帐户的DevOps资源的配置和设置。2022世界杯阿根廷预选赛赛程我们通过AWS冲突服务提供管理规则。这些规则是内置的规则,可以使用,它们都基于最佳实践。
我想强调一些管理规则,它们可以在DevSec的过程中发挥非常重要的作用。例如必需的标签。此规则检查,如果您的资源有指定的标签,我们有另一个管2022世界杯阿根廷预选赛赛程理规则,默认情况下易于EPS加密。此新闻检查Amazon弹性块存储加密在默认情况下是启用的。在代码构建方面,我们有一些规则可以帮助我们保护我们的DevOps管道。例如,代码构建项目和用于AWS凭证检查。该规则检查项目是否包含环境变量,如AWS access、key ID和AWS secret access key ID。
然后我们有代码构建项目源URL管理规则,它检查GitHub或bid[听不清00:09:38]源存储库URL是否包含个人访问令牌,或用户名和密码。我们可以开发自己的自定义规则并将其添加到AWS冲突中。我们可以将每个自定义规则与AWS Lambda函数关联起来,这些函数可以包含评估AWS资源并采取适当操作的逻辑。2022世界杯阿根廷预选赛赛程这些规则既可以在计划中触发,也可以在基础结构的任何更改中触发。AWS冲突服务通过提供DevOps资源的详细历史变更记录,简化了审计和遵从性。2022世界杯阿根廷预选赛赛程你可以有一个完整的记录改变了什么,什么时候改变的。当您使用CloudTrail时,它可以为您提供谁更改了它和其他相关元数据信息的进一步信息。
安全DevOps的第二件很重要的事情是,将基础设施作为代码。由代码构建的DevOps基础架构以可重复的方式进行跟踪、验证和配置。它还帮助我们雇用速度变化与强制遵守。我们可以使用AWS云形成公共注册中心来自动化JFROG资源、部署和治理。2022世界杯阿根廷预选赛赛程在AWS中,我们有云形成公共注册表。它们是由JFROG发布并经过AWS验证的安全可靠的云形成模块,用于部署高可用性,多简单的Artifactory和Xray模块。有了这两个实例,数据库、自动伸缩组、负载平衡、S3桶和其他。
AWS云生成与AWS Cloud Trail集成,后者捕获用户角色或AWS服务在云生成中所采取的操作。Cloud Trail捕获所有用于云形成的API调用,甚至包括来自云形成控制台的调用和来自代码对云形成API的调用。云形成与AWS系统管理器参数评分、AWS秘密管理器等AWS服务集成,用于秘密管理。监控和日志记录是安全DevOps的一个非常重要的部分。亚马逊CloudWatch是一项监控和管理服务,提供来自70多个AWS服务的数据和基础设施指标。
它提供最多一秒的指标可用性,并将数据锁定15个月或更短时间。CloudWatch容器洞察是另一个重要的功能,它监视和提醒容器管理指标,如Amazon ECS、Kubernetes、EKS、AWS Fargate和独立的Kubernetes。我们可以在指标阈值上设置警报,并发送通知以采取行动。CloudWatch事件为我们提供了一个实时的系统事件流,使我们能够快速响应操作更改并采取纠正措施,如调用AWS Lambda函数或通知Amazon SNS主题。容器洞察是非常重要的一部分。例如,我们可以在计算指标上设置警报,以触发自动缩放策略。它使我们能够停止、终止、重新启动和恢复任何Amazon实例。
对于Amazon ECS集群,您可以从任务和服务中看到用于服务自动扩展的计算指标。(沉默)AWS云跟踪,AWS CloudTrail是一项AWS服务,可帮助您实现对AWS账户的治理、合规性、运营风险和审计。它捕获DevOps资源上的用户[听不清00:15:42]角色或AW服务操作。2022世界杯阿根廷预选赛赛程它协助编写内部政策和外部法规所要求的遵从性报告。它具有提供锁文件完整性验证的功能,以确保我们的日志文件是安全的,不会被篡改。
它与CloudWatch日志和警报一起工作,以监视您的跟踪日志并发送通知和采取其他行动。在CloudTrail调用代码的情况下,例如,在代码构建调用创建项目开始构建和更新项目操作的情况下,在CloudTrail锁定文件中生成条目。在代码提交调用列表存储库、创建存储库输入存储库的情况下,它们会在CloudTrail锁定文件中生成条目。获取客户端调用,以便在CloudTrail锁定文件中获取和推送生成条目。使用CloudTrail,我们可以获得信息,例如,请求的源IP地址,发出请求的人,请求的时间和其他有用的信息。
因此,通过CloudWatch和CloudTrail,它们协同工作,为我们提供了对超过DevOps资源的实时或接近实时的监控能力。2022世界杯阿根廷预选赛赛程软件物料清单是一个非常重要的概念。在安全的DevOps中,软件材料清单包含组成软件的成分列表。因此,SBOM软件材料清单已经成为安全DevOps的核心最佳实践,以及越来越普遍的法规要求。
SBOM包含开发和使用的软件的组成信息,包括软件中使用的库和模块列表,使用的CI/CD工具的完整信息以及完整的构建部署和批准记录历史。关于SDLC周期、阶段、环境和所使用的设置的信息,关于自由和开放源代码模式的使用或软件中使用的库的信息,关于安全性和漏洞发现、补丁、许可和依赖的信息。借助托管在AWS上的JFROG Artifactory、JFROG XRay和JRFOG发行版,您可以轻松获得SBOM所需的所有粒度数据。拥有这些数据的组织可以计划他们的补丁、安全漏洞、缓解软件包中使用的开放软件,并了解他们的漏洞、能力、弱点和优势。
因此,软件材料清单是安全DevOps过程的一个非常重要的部分,它给了我们一个信心,使软件具有完整的批准生命周期记录,软件组件,库,应用程序中使用的第三方依赖关系。这是一个安全的架构,使用JFROG Artifactory和JFROG Xray与AWS。部署在AWS上的组件,例如生成的代码、构建的代码和部署的代码。所有组件都符合行业标准,包括ISO 37001等。
有了S3,我们就有了KMS的加密访问功能。在RDS中,我们也有这种能力,不仅解决了这个问题,而且还通过SSL和TLS进行传输。我们可以为更高的可用性启用多个简单部署。我们可以使用JFROG Artifactory将容器化的应用程序部署到Amazon EKS上。XRay是一个通用的软件组合分析解决方案,它与工件本地集成,并在AWS上得到支持和托管。XRay为安全性提供了功能,包括错误检测功能,例如,识别安全漏洞和许可证违规,深度递归扫描,扫描Java应用程序系统中的工件、账单和发布包。
它还可以分析所有的JAR文件。持续的影响分析,XRay意识到一个问题如何影响一个组件,它可以影响其他组件,漏洞数据库。它有一个漏洞能力数据库。我们可以按需进行边界扫描。S3与artifactory一起工作,并提供无限的存储、可伸缩性、持久性、可用性、加密和DR功能。通过桶策略,我们可以通过HTTPS TLS启用跨帐户访问和加密连接。我们可以在策略中使用AWS安全传输条件为S3强制加密连接。S3中的对象锁定功能,帮助我们提供正确的一读多强制。我们可以在S3上实现Amazon[听不清00:23:10]来查找个人身份信息,并查找由GDPR和HIPAA标准定义的任何数据类别。
秘密管理器,我们可以保护和保留秘密,如DB凭据、RDS、数据库凭据、ETS秘密、API密钥和许可密钥。秘密管理器不仅可以安全地存储秘密,还可以处理这些秘密的轮换。AWS冲突为我们提供了AWS资源配置历史的详细视图。2022世界杯阿根廷预选赛赛程你可以看到结构和关系是如何随时间变化的。(沉默)最后,我想分享一些与代码提交、代码、构建代码、部署和40jfrog的安全性相关的文档参考。非常感谢你的宝贵时间。当心
