大家好,欢迎来到今天的会议。在今天的课程中,我们将讨论AWS与JFROG平台上的DevSecOps。我叫萨夫达尔·扎曼。我是AWS的技术客户经理,在IT治理、DevOps安全项目管理云和数字转型方面有超过20年的经验。在今天的议程中,我们将讨论DevSecOps治理、安全基础设施自动化、CloudFormation公共注册、监控和日志、软件清单安全架构和一些文档参考。DevSecOps治理基本上是多个结构、策略和过程的组合,它基本上帮助我们驱动治理机制。DevSecOps治理是安全流程、过程、结构、规则和工具的组合,它们一起工作,提供并自动化可重复的安全DevOps。
当我们谈到安全DevOps策略和过程时,它们是这个实践的重要组成部分。当我们在AWS中部署管道时,我们有一些策略,即服务控制策略。服务控制策略提供对组织中所有成员帐户的最大可用权限的集中控制。例如,您可以限制希望运行DevOp管道的区域。您可以限制成员帐户中的实例类型,以便开发人员对其进行操作。
我们还可以实施调控机制,比如,我们可以从成员帐户中禁用任何人来关闭或禁用CloudWatch或CloudTrail。我们可以使用服务控制策略强制标记,以便跟踪机制在整个组织中是统一的和标准化的。第二个重要部分是规则,这是安全DevOps所需要的。在AWS中,我们提供即时通讯规则。当我们在管道中使用角色时,我们不必分发长期凭证,如用户名、密码或访问密钥。要克服两个简单的例子。这一切都由角色承担,角色提供临时权限,应用程序在调用其他AWS资源时可以使用这些权限。2022世界杯阿根廷预选赛赛程
我们需要有一个DevOps开发人员角色、DevOps、DevSecOps架构师角色和DevOps工程师角色。我们的体系结构必须基于最佳实践来确保安全,以便在我们的体系结构中实现所有这些屏障和最佳实践。我们的管道需要有质量、功能安全测试和监视支持。当我们谈到AWS CloudWatch、Conflig和CloudTrail时,这些服务为我们提供了非常详细和全面的资源视图。2022世界杯阿根廷预选赛赛程我们可以创建实时或接近实时的警报。我们可以为SNS服务创建通知,然后将其级联到其他AWS服务,如SQSQ的或Lambda函数。我们已经完全内置了代码管道、代码提交、代码构建和代码部署。作为AWS的一部分,
我们完全支持JFROG Artifactory,和KFROG Xray。JFROG是一个企业存储库管理器,它支持Kubernetes,支持容器、停靠器和Emchar。x射线是JFROG系统的重要组成部分。x射线与JFROG Artifactory合作,对二进制软件组件进行通用分析。在应用生命周期的任何阶段,AWS都提供快速支持、快速启动,它以非常高、有价值和有弹性的方式在Amazon虚拟私有云负载均衡器和S三个网络网关上部署了KFROG Artifactory和Xray。
DevSecOps基础设施自动化是DevOps安全的重要组成部分。对于配置管理,我们有一个AWS冲突服务,它提供了DevOps管道中使用的AWS资源配置的详细视图。2022世界杯阿根廷预选赛赛程该服务为我们提供了一个视图,这些资源是如何相互关联的,它们是如何配置的,以及它们2022世界杯阿根廷预选赛赛程的历史更改是什么。AWS Config可以根据内部实践、行业指南和法规,评估跨账户DevOps资源的配置和设置。2022世界杯阿根廷预选赛赛程我们通过AWS冲突服务提供管理规则。这些规则是内置的,可以使用,它们都基于最佳实践。
我想强调的管理规则很少,它们在DevSec的过程中扮演着非常重要的角色。例如,必需的标签。这个规则检查,如果您的资源有指定的标签,我们有另一个2022世界杯阿根廷预选赛赛程管理规则,这是很容易EPS加密默认。这个新闻检查默认情况下是否启用了Amazon弹性块存储加密。在代码构建方面,我们有一些规则可以帮助我们保护我们的DevOps管道。例如,代码构建项目和AWS凭据检查。该规则检查项目是否包含AWS访问、密钥ID和AWS秘密访问密钥ID等环境变量。
然后,我们有代码构建的项目源URL托管规则,它检查GitHub或bid[听不清00:09:38]源存储库URL是否包含个人访问令牌或用户名和密码。我们可以开发自己的自定义规则,并将它们添加到AWS冲突中。我们可以将每个自定义规则与AWS Lambda函数关联,该函数可以包含计算AWS资源并采取适当操作的逻辑。2022世界杯阿根廷预选赛赛程这些规则可以在计划中触发,也可以在基础架构的任何更改时触发。AWS冲突服务通过提供详细的DevOps资源的历史更改记录,简化了审计和遵从。2022世界杯阿根廷预选赛赛程您可以有一个完整的记录,记录更改的内容和时间。当您使用CloudTrail时,它可以为您提供谁更改了它的进一步信息和其他相关的元数据信息。
第二件事,安全DevOps非常重要的部分,就是基础设施作为代码。通过代码构建的DevOps基础设施以可重复的方式被跟踪、验证和配置。它还帮助我们通过强制遵从来改变雇佣速度。我们可以使用AWS云形成公共注册中心来自动化JFROG资源、部署和治理。2022世界杯阿根廷预选赛赛程在AWS中,我们有云形成公共注册表。这是由JFROG发布的安全可信的云形成模块,并通过AWS验证,用于部署高可用性、多简单的Artifactory和Xray模块。使用这两个实例,数据库、自动伸缩组、负载平衡、S3桶和其他。
AWS云形成与AWS Cloud Trail集成,后者捕获用户角色或AWS服务在云形成中的动作。云路径捕获所有的API调用云形成,甚至包括调用从云形成控制台和从代码调用云形成API。云形成与AWS服务集成,如AWS系统管理器参数评分和AWS秘密管理器进行秘密管理。监视和日志记录是安全DevOps非常重要的部分。Amazon CloudWatch是一个监控和管理服务,提供来自70多个AWS服务的数据和基础设施指标。
它提供最多一秒钟的度量可用性,并将数据锁定15个月或更短时间。CloudWatch容器洞察是另一个重要的功能,它监视和警报容器管理指标,如Amazon ECS、Kubernetes、EKS、AWS Fargate和独立的Kubernetes。我们可以在指标阈值上设置警报并发送通知以采取行动。CloudWatch事件为我们提供实时的系统事件流,并允许我们快速响应操作更改,并采取纠正措施,如调用AWS Lambda函数或通知Amazon SNS主题。集装箱洞察非常重要的一部分。例如,我们可以在计算指标上设置警报,以触发自动伸缩策略。它使我们能够停止、终止、重新启动和恢复任何Amazon实例。
对于Amazon ECS集群,您可以看到来自任务和服务的计算指标,用于服务自动伸缩。(沉默)AWS Cloud trail, AWS CloudTrail是一项AWS服务,可帮助您启用对AWS帐户的治理、遵从性、操作风险和审计。它捕获用户[听不清00:15:42]角色或DevOps资源上的AW服务操作。2022世界杯阿根廷预选赛赛程它协助完成内部政策和外部法规要求的遵从性报告。它具有提供锁文件完整性验证的功能,以确保我们的日志文件是安全的,不会被篡改。
它与CloudWatch日志和警报一起工作,以监视您的跟踪日志,发送通知和采取其他行动。在CloudTrail调用的情况下,例如,在创建项目启动构建和更新项目操作的代码构建调用的情况下,在CloudTrail锁文件中生成条目。在代码提交调用的情况下,列出存储库,创建存储库输入存储库,它们在CloudTrail锁文件中生成条目。获取客户机调用,以便在CloudTrail锁文件中获取推生成条目。使用CloudTrail,我们可以获得信息,例如,请求的源IP地址是谁发出的请求,请求的时间和其他有用的信息。
因此,通过CloudWatch和CloudTrail,它们可以协同工作,为我们提供对DevOps资源的实时或接近实时的监控能力。2022世界杯阿根廷预选赛赛程软件物料清单是一个非常重要的概念。在安全的DevOps中,软件材料清单包含组成软件的成分列表。因此,SBOM软件材料清单已经成为安全DevOps的核心最佳实践,以及日益普遍的监管需求。
SBOM包含有关所开发和使用的软件组成的信息,包括软件中使用的库和模块的列表,使用的CI/CD工具的完整信息,以及完整的构建部署和批准记录历史。关于SDLC周期、阶段、环境和使用的设置的信息、关于免费和开源模式使用的信息或软件中使用的库的信息、关于安全和漏洞发现、补丁、许可和依赖性的信息。通过在AWS上托管JFROG Artifactory、JFROG XRay和JRFOG分发版,您可以轻松地获得SBOM所需的所有粒度数据。拥有这些数据的组织可以计划他们的补丁,安全漏洞,缓解开放软件中使用的软件包,并了解他们的漏洞,他们的能力,他们的弱点,他们的优势。
因此,软件材料清单是安全DevOps过程中非常重要的一部分,它让我们对软件的制作有信心,有完整的批准生命周期、软件组件、库和应用程序中使用的第三方依赖关系的记录。这是一个安全的体系结构,使用JFROG Artifactory和JFROG Xray与AWS。部署在AWS上的组件,例如,代码生成、代码构建和代码部署。所有的组件都符合行业标准,包括ISO 37,001和其他。
通过S3,我们可以使用KMS进行加密访问。在RDS中,我们也有这种能力,不仅可以寻址,还可以通过SSL和TLS传输。我们可以启用多个简单的部署以获得更高的可用性。我们可以使用JFROG Artifactory将集装箱化的应用程序部署到Amazon EKS。XRay是一种通用的软件组合分析解决方案,它与artifactory本机集成,并在AWS上得到支持和托管。XRay提供了用于安全的功能,包括错误检测功能,例如,识别安全漏洞和许可证违反,深度递归扫描,它为Java应用程序扫描系统中的工件、账单和发布包。
它还可以分析所有JAR文件。持续影响分析,XRay意识到一个问题如何影响一个组件以及它如何影响其他组件,漏洞数据库。它有一个漏洞能力数据库。我们可以运行需求边界扫描。S3与artifactory合作,提供无限的存储、可伸缩性、持久性、可用性、加密和容灾能力。通过桶策略,我们可以启用跨帐户访问和HTTPS TLS加密连接。我们可以在策略中使用AWS安全传输条件为S3强制加密连接。S3中的对象锁定功能,帮助我们提供正确的读取执行。我们可以在S3上实现Amazon[听不清00:23:10],以查找个人身份信息,并查找GDPR和HIPAA标准定义的任何数据类别。
秘密管理器,我们可以保护和保留诸如DB凭证、RDS、数据库凭证、ETS秘密、API密钥和许可密钥等秘密。秘密管理器,它不仅安全地存储秘密,它还负责这些秘密的轮换。AWS冲突为我们提供了AWS资源配置历史的详细视图。2022世界杯阿根廷预选赛赛程你可以看到配置和关系是如何随时间变化的。(沉默)最后,我想分享一些与代码提交、代码、构建代码、部署和40 JFROG的安全性相关的文档参考。非常感谢您的宝贵时间。当心
