大家好,欢迎来到我们的课堂。在今天的会议中,我们将讨论使用JFROG平台在AWS上的DevSecOps。我叫萨夫达尔·扎曼。我是AWS的技术客户经理,在IT治理、DevOps安全项目管理云和数字转换方面有20多年的经验。在今天的议程中,我们将讨论DevSecOps治理、安全基础设施自动化、CloudFormation公共注册表、监控和日志记录、安全架构的软件清单和一些文档参考。DevSecOps治理基本上是多个结构、策略和过程的组合,它基本上帮助我们推动治理机制。DevSecOps治理是安全流程、过程、结构、规则和工具的组合,它们一起工作以提供自动化的、可重复的、安全的DevOps。
当我们谈论安全DevOps时,策略和过程是这种实践的重要组成部分。当我们在AWS中部署管道时,我们有服务控制策略。服务控制策略对组织中所有成员帐户的最大可用权限进行集中控制。例如,可以限制希望DevOp管道运行的区域。您可以限制您的成员帐户中的实例类型,您希望开发人员对其进行操作。
我们还可以强制执行调控机制,我们可以禁止任何人从成员帐户关闭是禁用CloudWatch或CloudTrail。我们可以使用服务控制策略强制标记,以便跟踪机制在整个组织中是统一和标准化的。第二个重要的部分是规则,我们需要这些规则来实现安全的DevOps。在AWS中,我们提供即时通讯规则。当我们在管道中使用角色时,我们不必分发长期凭证,例如用户名和密码或访问密钥。举两个例子。这些都由角色承担,该角色提供临时权限,应用程序在调用其他AWS资源时可以使用这些权限。2022世界杯阿根廷预选赛赛程
我们需要有一个DevOps开发人员角色、DevOps、DevSecOps架构师角色和DevOps工程师角色。我们的架构必须是安全的,基于最佳实践,以在我们的架构中启用所有这些护栏和最佳实践。我们的管道需要有质量、功能安全测试和监控支持。当我们谈到AWS CloudWatch、Conflig和CloudTrail时,这些服务为我们提供了非常详细和全面的资源视图。2022世界杯阿根廷预选赛赛程我们可以创建实时或接近实时的警报。我们可以为SNS服务创建通知,然后将其级联到其他AWS服务,例如SQSQ 's或Lambda函数。我们已经完全构建了代码管道、代码提交、代码构建和代码部署。作为AWS的一部分,
我们完全支持JFROG Artifactory和KFROG x射线。JFROG是一个企业存储库管理器,它是Kubernetes准备的,支持容器,码头,Emchar。x射线是JFROG系统的重要组成部分。x射线与JFROG Artifactory合作,执行二进制软件组件的通用分析。在应用程序生命周期的任何阶段,AWS提供快速支持、快速启动,在Amazon虚拟私有云负载均衡器、S三个网络网关上以非常高、有价值和有弹性的方式部署KFROG Artifactory和Xray。
DevSecOps基础设施自动化是DevOps安全的重要组成部分。对于配置管理,我们有一个AWS冲突服务,它提供了我们DevOps管道中使用的AWS资源配置的详细视图。2022世界杯阿根廷预选赛赛程该服务为我们提供了一个视图,可以看到资源之间是如何关联的,它们是如何配置的,以及2022世界杯阿根廷预选赛赛程它们的历史变化是什么。AWS Config可以根据内部牵引实践、行业指南和法规,评估跨账户DevOps资源的配置和设置。2022世界杯阿根廷预选赛赛程我们通过AWS冲突服务提供管理规则。这些规则是内置在规则中的,可以使用,并且它们都基于最佳实践。
我想强调一些管理规则,它们可以在DevSec的过程中发挥非常重要的作用。例如必需的标签。此规则检查,如果您的资源有指定的标签,我们有另一个管2022世界杯阿根廷预选赛赛程理规则,这是易于EPS加密默认。该新闻检查默认情况下Amazon弹性块存储加密是否启用。在代码构建方面,我们有一些规则可以帮助我们保护我们的DevOps管道。例如,代码构建项目和AWS凭证检查。该规则检查项目是否包含AWS访问、密钥ID和AWS秘密访问密钥ID等环境变量。
然后我们有代码构建项目源URL管理规则,它检查GitHub或投标[听不清00:09:38]源存储库URL是否包含个人访问令牌,或用户名和密码。我们可以开发自己的自定义规则,并将其添加到AWS冲突中。我们可以将每个自定义规则与AWS Lambda函数相关联,该函数可以包含评估AWS资源并采取适当操作的逻辑。2022世界杯阿根廷预选赛赛程这些规则可以在计划中触发,也可以在基础设施的任何更改中触发。AWS冲突服务通过提供DevOps资源的详细历史更改记录,简化了审计和遵从性。2022世界杯阿根廷预选赛赛程你可以有一个完整的记录,什么时候发生了变化。当您使用CloudTrail时,它可以为您提供谁更改了它和其他相关元数据信息的进一步信息。
安全DevOps的第二件非常重要的事情是,基础设施就是代码。以可重复的方式跟踪、验证和配置由代码构建的DevOps基础设施。它还帮助我们在强制遵从的情况下雇佣速度变化。我们可以使用AWS云形成公共注册表来自动化JFROG资源、部署和治理。2022世界杯阿根廷预选赛赛程在AWS中,我们有云形成公共注册表。这是由JFROG发布的安全可信的云形成模块,并由AWS验证,用于部署高可用性,多易于Artifactory和x射线模块。有了这两个实例,数据库、自动伸缩组、负载平衡、S3桶等。
AWS云生成集成了AWS云跟踪,可以捕获用户角色或AWS服务在云生成中所采取的操作。云追踪捕获所有API调用云形成,甚至包括调用从云形成控制台和从代码调用到云形成API。云形成集成了AWS服务,如AWS系统管理器参数评分和AWS秘密管理器的秘密管理。监视和日志记录是安全DevOps的一个非常重要的部分。Amazon CloudWatch是一项监控和管理服务,提供来自70多个AWS服务的数据和基础设施指标。
它提供长达一秒的可用性指标,并将数据锁定在15个月或更短时间内。CloudWatch容器洞察是另一个重要的功能,它监视和警报容器管理指标,如Amazon ECS, Kubernetes, EKS, AWS Fargate和独立的Kubernetes。我们可以在指标阈值上设置警报,并发送通知以采取行动。CloudWatch事件为我们提供了系统事件的实时流,并允许我们快速响应操作更改,并采取纠正措施,如调用AWS Lambda函数或通知Amazon SNS主题。容器洞察是非常重要的一部分。例如,我们可以在计算指标上设置警报,以触发自动伸缩策略。它让我们能够停止终止,重新启动和恢复任何亚马逊实例。
对于Amazon ECS集群,您可以看到来自任务和服务的计算指标,用于服务自动扩展。(沉默)AWS云跟踪,AWS CloudTrail是一项AWS服务,可帮助您启用对AWS帐户的治理、合规性和运营风险以及审计。它捕获用户[听不清00:15:42]角色或AW服务在DevOps资源上的操作。2022世界杯阿根廷预选赛赛程协助完成内部政策和外部法规要求的合规报告。它具有提供锁文件完整性验证的功能,以确保我们的日志文件是安全的,不会被篡改。
它与CloudWatch日志和警报一起工作,以监视您的跟踪日志并发送通知并采取其他行动。在CloudTrail调用代码的情况下,例如,在代码构建调用创建项目开始构建和更新项目操作的情况下,在CloudTrail锁文件中生成条目。在代码提交调用列表存储库、创建存储库输入存储库的情况下,它们在CloudTrail锁文件中生成条目。在CloudTrail锁文件中获取客户端调用并获得推送生成条目。使用CloudTrail,我们可以获得信息,例如,发出请求的请求的源IP地址,请求的时间和其他有用的信息。
因此,通过CloudWatch和CloudTrail,它们可以一起工作,为我们提供实时或接近实时的DevOps资源监控能力。2022世界杯阿根廷预选赛赛程软件物料清单是一个非常重要的概念。在安全的DevOps中,软件材料清单包含组成软件的成分列表。因此,SBOM软件物料清单已经成为安全DevOps的核心最佳实践,以及越来越普遍的监管要求。
SBOM包含关于开发和使用的软件组成的信息,包括软件中使用的库和模块列表,使用的CI/CD工具的完整信息,以及完整的构建部署和批准记录历史。关于SDLC周期、阶段、环境和使用的设置的信息,关于软件中使用的自由和开源模式的信息或库的信息,关于安全性和漏洞发现、补丁、许可和依赖关系的信息。通过在AWS上托管JFROG Artifactory、JFROG XRay和JRFOG发行版,您可以轻松获得SBOM所需的所有粒度数据。拥有这些数据的组织可以计划他们的补丁、安全漏洞、缓解软件包中使用的开放软件,并了解他们的漏洞、能力、弱点和优势。
因此,软件材料清单是安全DevOps过程中非常重要的一部分,它让我们对软件的制作有了信心,有了完整的批准生命周期、软件组件、库、应用程序中使用的第三方依赖关系的记录。这是一个安全的架构,使用JFROG Artifactory和JFROG Xray与AWS。部署在AWS上的组件,例如,代码生成、代码构建和部署的代码。所有组件都符合行业标准,包括ISO 37,001等。
通过S3,我们拥有KMS的加密访问能力。在RDS中,我们也有这种能力,不仅可以解决,而且可以通过SSL和TLS传输。我们可以支持多种简单部署,以获得更高的可用性。我们可以使用JFROG Artifactory将容器化的应用程序部署到Amazon EKS。XRay是一种通用的软件组合分析解决方案,本机集成了工件,并在AWS上得到支持和托管。XRay提供了安全功能,包括错误检测功能(例如,识别安全漏洞和许可证违规)、深度递归扫描(为Java应用程序扫描系统中的工件、账单和发布包)。
它还可以分析所有JAR文件。持续影响分析,XRay意识到一个问题如何影响一个组件,它可以影响其他组件,漏洞数据库。它有一个脆弱性数据库。我们可以按需运行边界扫描。S3与artifactory合作,提供无限的存储、可伸缩性、持久性、可用性、加密和DR功能。使用桶策略,我们可以通过HTTPS TLS启用跨帐户访问和加密连接。我们可以在策略中使用AWS安全传输条件强制S3的加密连接。S3中的对象锁定功能,帮助我们提供正确的读取和执行。我们可以在S3上实现Amazon[听不清00:23:10],以查找个人身份信息,并查找GDPR和HIPAA标准定义的任何数据类别。
秘密管理器,我们可以保护和保留像DB凭据,RDS,数据库凭据,ETS秘密,API密钥和许可密钥这样的秘密。秘密管理器,它不仅安全地存储秘密,还负责这些秘密的旋转。AWS冲突为我们提供了AWS资源配置历史的详细视图。2022世界杯阿根廷预选赛赛程你可以看到构型和关系是如何随时间变化的。(沉默)最后,我想分享一些与代码提交、代码构建、部署和40 JFROG安全性相关的文档参考。非常感谢你抽出时间。当心
