Verizon Communications Inc. 运营的无线网络美国领先无线网络之一,同时拥有全国性的全光纤网络,为全球企业提供综合解决方案。该公司拥有 163,400 名员工,2016 年创造了近 1,260 亿美元的收入。
Verizon 是全球最大的通信技术提供商之一。每天,该公司屡获殊荣的网络连接数以百万计的人、公司和社区,在互动娱乐、数字媒体、物联网和宽带服务领域不断突破。
Verizon 为众多全球领先的公司提供技术,因此深谙云计算的优势。为了支持将业务应用程序迁移到 Amazon Web Services (AWS),Verizon 需要找到方法扩展其安全验证流程,以至超越其云安全团队的手动工作。Verizon 的云安全集成服务主管 Chris Durand 指出,要实现有效的解决方案,Verizon 必须解决几个重要问题,包括:
共享物理环境 — 通过本地应用程序,Verizon 可洞悉数据中心运行哪些其他内容。正如 Durand 所言,使用云之后,“不存在物理壁垒,我们的应用程序可以和竞争对手的应用程序在同一个服务器框架内运行。”
不同的部署模型 — 在本地模型中,硬件由硬件团队部署,操作系统由另一个团队部署,依此类推。在云中,由开发人员来部署硬件和操作系统,但他们不是这两个部署领域的专家,这也是实施安全配置检查的另一个理由。
依赖于自动化 — 在云中,部署是由自动化驱动的。为了与部署流程集成,并支持 Verizon 计划迁移到 AWS 中的应用程序,该公司还需要以自动化的方式解决安全性问题。
Durand 解释说:“我们采用包含多层控制的深度防御方法,包括预防、检测和自动修复。首先是预防,即从一开始就避免部署有问题的安全配置。”
新的开发-安全-运营管道 (DSOP) 是 Verizon 正在使用的一种预防方法,旨在确保部署到公有云中的应用程序符合与云应用有关的所有安全政策。DSOP 本身在 AWS 上运行,在 Stelligent 的帮助下构建。Stelligent 是 AWS 合作伙伴网络 (APN) 中 HOSTING 和 Premier Consulting Partner 的分支机构。
Verizon 使用 AWS CloudFormation,因此开发人员和系统管理员可利用代码以稳定且可控的方式来配置、更新和管理相关 AWS 资源的收集(称为堆栈)。基于 AWS CloudFormation,DSOP 将安全验证所需的元件呈现为代码,从而以自动化的方式确保安全政策合规性。
Durand 表示:“我们已经接受基础设施即代码的概念,开发也是如此。下一步就是将安全性视为代码,这是推动自动化、加快开发流程集成的手段。只有将交付云解决方案所需的所有相关方纳入开发流程,我们才能真正实现开发运营理念要求的目标。安全是下一个前沿领域。”
DSOP 将安全验证过程分为三个独立阶段。如果应用程序没有通过第一阶段,则不会进入第二个和之后的阶段,包括:
阶段 1 — CloudFormation 模板的静态分析。 在该管道的第 1 阶段,DSOP 使用 Stelligent 提供的开源工具 CFN_NAG 执行 CloudFormation 模板的静态分析。该工具依照 Stelligent 编写的规则来检查加密、访问日志、安全组、身份和访问管理的相关设置。CFN_NAG 结果包括违反安全规则的资源的逻辑资源标识符,以及规则违反的说明。有关 CFN_NAG 的更多信息,请参阅本篇 Stelligent 博文。
阶段 2 — 针对部署的 CloudFormation 堆栈的分析。 在该管道的第 2 阶段,DSOP 使用 CloudFormation 模板将应用程序部署到专为安全验证创建的测试环境中。然后,DSOP 使用 AWS 配置服务,以及 Stelligent 编写的规则来访问、审核和评估 AWS 资源的安全配置,后者是作为 CloudFormation 堆栈的一部分创建的。
阶段 3 — 漏洞扫描。 在管道的第 3 阶段,DSOP 使用第三方产品来扫描未能在第 1 和第 2 阶段捕获的漏洞,例如基础设施工具的漏洞版本,或者遗失的操作系统补丁。漏洞扫描完成后,测试环境即被破坏。
管道结果采用数字签名,然后由该公司的自动化部署管道(基于 Red Hat Ansible)内的代理人员检查确认该应用程序能否获批部署到生产环境中。管道的每个阶段可由开发团队独立执行。
Durand 解释道:“几乎所有的安全工具都要求您在 AWS 中实例化资源,然后才能将这些工具用于验证安全配置。Stelligent 的 CFN_NAG 工具克服了这一难题,它可以在执行 CREATE_STACK 之前,读取并评估 CloudFormation 模板是否符合可自定义的安全政策。因为 CFN_NAG 也可以由开发人员独立使用,所以它提供了一种很好的方法,可以在该流程早期捕获糟糕的编码实践——比如没有锁定的端口或带有公共读取 ACL 的代码桶。”
DSOP 解决方案架构
在 Amazon Elastic Compute Cloud (Amazon EC2) 中,DSOP 作为 Jenkins 管道运行,Amazon Simple Storage Service (Amazon S3) 则被用于执行日志捕捉和其他存储任务。DSOP 也将 Amazon CloudFormation 用于堆栈部署(以及部署 CFN_NAG 服务本身),将 AWS Config 用于动态合规性检查,将 AWS Lambda 用于自定义配置规则。
在 Stelligent 的帮助下,Verizon 的 DSOP 为公司提供了一种自动化方法,可以在产品部署之前检查 AWS 基础设施安全配置是否合适。具体优势包括:
完全符合安全政策的要求。DSOP 为 Verizon 提供了一种稳定一致的方法,确保部署到 AWS 云中的应用程序符合所有安全配置规则,从而使公司能够在生产部署之前捕获潜在的安全风险。Durand 表示:“DSOP 已经表明,我们可以实现百分百的安全政策合规性。此外,采用 DSOP 之后,我们可以检查应用程序在非生产环境中的安全配置,从资源角度来看,其耗费的成本要比在部署之后发现问题低得多。”
支持敏捷开发。DSOP 是完全自助式的;开发团队可以随时运行,确保应用程序可立即投入生产,避免在提交应用程序之后才发现需要更改配置。Durand 表示:“DSOP 已完全自动化,可以与我们的开发运营管道集成,支持实施敏捷开发。此外,利用 DSOP,我们正在创建一个反馈环路,可以为 CloudFormation 开发人员传授最佳实践,帮助他们深入了解如何部署安全的 AWS 基础设施。”
快速创建和部署新安全规则作为合作的一部分,Stelligent 花费数周时间就如何维护 DSOP 培训 Durand 的团队。该团队可以快速轻松地编写新安全规则,然后将其应用到管道中。Durand 表示:“知识转移是该合作的核心。事实上,Stelligent 为该项目做到了全方面百分百付出;服务品质和工作质量无可挑剔,现在我们的团队完全理解了 DSOP,有能力依靠自身强化解决方案。”
横跨整个企业的可扩展性。 因为 DSOP 是完全自动化的,且可以自行在 AWS 上运行,所以 Verizon 可以扩展到整个企业,容纳公司计划迁移到云的众多应用。Durand 表示:“如果手动实施所有这些检测,会占用大量资源,而且有可能发生人为错误。”
他总结道:“DSOP 的基本优势很简单:帮助我们在部署前杜绝不安全的基础设施,而不是在部署后检测这类问题。当然,我们仍需手动实施检测,但在使用 DSOP 的地方,我们没有发现任何安全配置问题。”
Stelligent,AWS 合作伙伴网络 (APN) 中的 Premier Consulting Partner,是一家技术服务公司,在 AWS 上提供开发运营自动化和托管服务。
要详细了解 Stelligent 如何帮助您的公司构建和管理 AWS 环境,请参阅 AWS 合作伙伴目录中的 Stelligent 清单。
了解更多与 AWS DevOps 服务有关的信息。