使用多云/混合云DMZ | JFrog向左转移安全性

安全向左转移意味着防止开发人员使用不可接受的漏洞软件供应链尽可能早地创建组件:在第一次构建之前。通过帮助确保不会使用已知漏洞的包创建构建，这可以提前节省大量的修复成本。

一些JFrog客户限制使用开源软件(OSS)软件包只包含那些已被其安全团队筛选和批准的软件包。在这个DevSecOps在管理实践中，开发人员永远不允许直接使用来自外部公共存储库(如Maven Central或)的包码头工人中心相反，必须从内部吸取代理库这是由安全团队策划的。

SecOps团队喜欢这种方式，它为他们提供了一种安全优先的方式，使威胁远离每个应用程序。开发人员希望他们的包能够依赖一个受信任的目录。部门领导喜欢它在降低成本的同时加快软件交付的速度。

它是如何工作的

JFrog的独特能力可以帮助您进行操作云灵活—在需要托管管道段的任何地方以任何方式运行它们—有助于启用此可信目录策略。

让我们看看我们的几个客户是如何使用这种方式的JFrog DevOps平台部署可以跨云进行互操作，为跨整个组织的OSS组件管理构建和维护一个前端DMZ。

在本例中，用于管理生产专用存储库的主要JFrog平台部署部署在公司内部安全内部网的服务器上。这些on-prem存储库是所有二进制文件和构建的开发和阶段的“唯一真相来源”，最终将部署到生产中。

安全团队为开放源码维护一个前端DMZ—一个单独的JFrog平台部署，其唯一目的是代理公共存储库，如Maven和DockerHub。这个DMZ由安全团队管理，提供OSS组件的可信目录。

您可以在任何云中托管您的DMZ。因为它只包含镜像公共存储库(没有私有知识产权)的只读远程存储库，所以安全需求非常低——DMZ可以安全地占用一个开放的jfrog管理的SaaS云帐户。因为它是JFrog，所以您可以选择将它托管在任何主要的云服务提供商(AWS、谷歌或Azure)中。

在DMZ部署中，JFrog Xray对每个远程存储库执行连续扫描，识别代理中每个包的已知漏洞。通过设置Xray规则、策略和监视，安全团队可以帮助Xray自动决定哪些漏洞小到不必担心，或者严重到需要仔细检查。

Xray可以帮助实现这些决策的自动化——例如自动阻止使用任何具有临界威胁评分的CVE包——并为团队节省大量时间。

其他漏洞可能需要更仔细地检查，Xray可以提醒安全团队需要进行检查。

你知道吗?
JFrog的集成为安全团队提供了多种方法来放大来自Xray的警报。是否通过ITSM系统(如PagerDuty或ServiceNow)或协作工具(例如松弛或Microsoft Teams)，团队可以互相提醒采取行动。他们甚至可能会希望自动退出从x射线创建Jira发行票跟踪下一步。

x射线警报发送到PagerDuty ITSM

在安全团队通过Xray进行策划之后，DMZ JFrog部署现在提供了一个可信任的开放源码组件目录，这些组件被批准在整个组织中使用。

on-prem生产系统可以自由地从DMZ中的托管代理存储库中提取组件—从那里可用的一切都被认为是足够安全的。VPN连接到DMZ区域可以保证安全连接，防止生产系统受到恶意攻击。

然而，从VPN上提取包对构建的速度有很大的影响——比从本地存储库中提取包慢10倍(根据拓扑的不同，甚至更慢)。为了更快的构建时间，DevOps团队可以在预先生产的JFrog平台部署中设置远程存储库，以在Artifactory中提供DMZ存储库的本地缓存。

当每个构建都需要最高速度时，可以将DMZ配置为自动将每个新组件从其管理存储库推复制到生产系统上Artifactory中的等价本地存储库。在这种方法下，保证生产构建始终具有受信任组件的本地版本—这些组件不能被试图恢复存储空间的运维团队轻易刷新。

以这种方式为开放源码组件使用DMZ提供了几个重要的好处:

当您对云灵活时，您可以在最适合您的任何地方托管您的DMZ或生产系统——在JFrog管理的云帐户中，或在云中或on-prem中的自管理系统中——并且仍然可以在JFrog平台部署之间进行互操作。

需要亲自看看Xray如何帮助您在Artifactory中维护一个值得信任的OSS目录?安排一次演示我们会告诉你怎么做。