「DSOP 最重要的優勢很簡單:它讓我們在部署前即可避免不安全的基礎設施,而不是在部署後才偵測到這類問題。當然,我們還是會進行手動檢查,而我們並未在使用 DSOP 的地方發現任何安全設定問題。」
Chris Durand Verizon 雲端安全整合服務總監

Verizon Communications Inc. 經營美國主要的無線網路和全國全光纖網路,並為全球企業提供整合式解決方案。該公司擁有 163,400 名員工,2016 年營收將近 $1260 億美元。

Verizon 是全球最大通訊技術供應商之一。該公司每天連結數百萬名使用者、公司和社群,讓他們得以使用獲獎肯定的網路,在互動式娛樂、數位媒體、物聯網和頻寬服務等方面作出突破。

身為眾多全球領導企業的技術供應商,Verizon 深知雲端運算的優勢。Verizon 需要一種能將安全驗證程序擴充其安全團隊以外的手動工作方法,以便協助將其商業應用程式移轉至 Amazon Web Services (AWS)。Verizon 雲端安全整合服務的總監 Chris Durand 指出,若要使解決方案有效,Verizon 必須考慮以下這些事項:

共享的實體環境:Verizon 會透過現場部署應用程式,掌握資料中心還有哪些正在執行的項目。Durand 對雲端環境有以下的補充:「實體牆面消失了,我們其中一個應用程式就能夠在與競爭對手相同的伺服器架構上執行。」

不同的部署模型:在現場部署模型中,硬體是由硬體團隊部署,而作業系統則是由其他團隊負責部署,以此類推。在雲端環境中,負責佈建硬體和作業系統的人員並不是上述兩個部署層面的專家,這也是我們要進行安全組態檢查的另一原因。

仰賴自動化:在雲端環境中,部署是由自動化所驅動。為了與部署程序整合,並針對 Verizon 打算要移轉至 AWS 的應用程式提供支援,該公司也需要以自動化方式處理安全問題。

Durand 說明:「我們採用深度防禦策略,其中包括防禦性、偵測和自動修復功能等各種層級的控制。首先,防禦性功能旨在於第一時間防止部署不良的安全組態。」 

Verizon 全新的開發安全維運管道 (DSOP) 正是 Verizon 正在使用的一種預防性方法,能確保部署至公有雲端的應用程式符合雲端應用程式的所有安全政策。在 AWS 上執作的 DSOP 在 Stelligent 協助下建立,Stelligent 是 HOSTING 的一個部門,也是 AWS Partner Network (APN) 的高級諮詢合作夥伴。

Verizon 使用 AWS CloudFormation,讓開發人員和系統管理員運用程式碼,以受控管且一致的方式佈建、更新和管理相關 AWS 資源系列 (稱為堆疊)。DSOP 以程式碼的方式呈現安全驗證的必要元素,以建立在 AWS CloudFormation 上,有助於推動透過自動化方式來確保遵循安全政策。

Durand 說:「我們已接受基礎設施是由程式碼構成,因此相關的開發也一視同仁才對。順著這邏輯脈絡發展,接下來便是將安全視為程式碼工作,進而自動化並加速將安全融入開發程序之中。只有將提供雲端解決方案必要的所有利害關係人整合至開發程序中,我們才能真正做到 DevOps 文化所要求的目標。安全是下一個嶄新領域。」

DSOP 將安全驗證程序細分成三個獨立階段。如果應用程式沒有通過第一階段,就無法進入第二階段和後續階段,包括:  

第 1 階段:CloudFormation 範本的靜態分析。 在管道的第一階段中,DSOP 會使用 Stelligent 的開放原始碼工具 CFN_NAG 對 CloudFormation 範本執行靜態分析。該工具會使用 Stelligent 撰寫的規則檢查與加密、存取記錄、安全群組和 Identity and Access Management 相關的設定。CFN_NAG 分析結果包括違反安全規則資源適用的邏輯資源識別符,以及所違反規定的說明。您可以在這篇 Stelligent 部落格文章了解 CFN_NAG 的詳細資訊。

第 2 階段;已部署 CloudFormation 堆疊的分析。 在管道的第二階段中,DSOP 會使用 CloudFormation 範本,將應用程式部署至專為安全驗證建立的測試環境。DSOP 接著會使用 AWS Config 服務搭配由 Stelligent 撰寫的規則,以存取、稽核和評估做為 CloudFormation 堆疊一部分建立之 AWS 資源的安全組態。

第 3 階段:漏洞掃描。 在管道的第三階段,DSOP 會使用第三方產品掃描階段一和階段二沒有發現的漏洞,例如易受攻擊版本的基礎設施工具,或是否遺漏任何作業系統修補程式。測試環境會在漏洞掃描後銷毀。

管道結果會以數位簽章來簽署,並會由公司自動化部署管道內的代理程式 (以 Red Hat Ansible 為基礎) 進行檢查以判斷是否核准將此應用程式部署到生產環境中。管道的每個階段亦可以由開發團隊獨立執行。

Durand 解釋道:「在這些工具可以驗證安全性組態前,幾乎所有安全性工具都會要求您展示 AWS 中的資源。Stelligent 的 CFN_NAG 工具透過讀取和評估 CloudFormation 範本,在執行 CREATE_STACK 之前嚴格遵守可自訂的安全政策,因此得以克服這一挑戰。由於 CFN_NAG 也可以由開發人員獨立使用,因此很適合用於流程早期以找出不良的編碼實務,例如未鎖定的連接埠或具有公用讀取 ACL 的代碼儲存貯體。」

DSOP 解決方案架構

DSOP 以 Jenkins 管道的身分在 Amazon Elastic Compute Cloud (Amazon EC2) 內執行,並使用 Amazon Simple Storage Service (Amazon S3) 來擷取記錄以及執行其他儲存任務。DSOP 還利用 Amazon CloudFormation 來進行堆疊部署 (以及 CFN_NAG 服務本身的部署)、使用 AWS Config 進行動態合規性檢查,以及使用 AWS Lambda 做為自訂組態規則。

Verizon 的 DSOP 藉由 Stelligent 的協助而建立,可為公司提供自動化的方法,在生產部署之前檢查其 AWS 基礎設施,以獲得適當的安全組態。具體的優點包括:

完全遵循安全政策的要求。DSOP 提供 Verizon 一致的方法,可確保部署到 AWS 雲端的應用程式符合所有安全組態規則,使公司能夠在生產部署之前找出潛在的安全風險。Durand 說:「DSOP 已經證明我們可以做到 100% 遵守安全政策,更重要的是,使用 DSOP 之後,我們就可以在非生產環境中檢查應用程式的安全組態。從資源的觀點來看,這麼做會比在部署之後才發現問題要便宜得多。」

支援敏捷開發。DSOP 是完全自助的服務;開發團隊隨時都可以執行該服務,以確保他們的應用程式已準備上市,而不是等到交出應用程式後才發現需要變更組態。Durand 說:「DSOP 完全自動化,並與我們的 DevOps 管道整合,以支援敏捷開發。此外,目前我們透過 DSOP 建立回饋迴圈,教導 CloudFormation 開發人員最佳實踐,並提高他們對於部署安全 AWS 基礎設施的了解。」

快速建立和部署新的安全規則。做為參與的一部分,Stelligent 花了數週時間來培訓 Durand 的團隊維護 DSOP。團隊成員可以快速而輕鬆地編寫新的安全規則,然後立即套用到管道中。Durand 表示:「知識轉移是這種參與的要素,事實上,Stelligent 在專案的各個方面都達到了 100% 的成效;我們如願獲得良好的工作品質,現在我們的團隊成員都能完全理解 DSOP,並且能夠自行提升成效。」

整個企業的可擴展性。 由於 DSOP 完全自動,而在自行在 AWS 上執行,因此 Verizon 可以在將其使用範圍擴及整個企業,以因應公司打算移轉到雲端的多項應用程式的需要。Durand 說:「如果我們手動執行所有相同的檢查作業,便需要使用大量資源,而且還可能會出現人為錯誤。」

Durand 總結認為:「DSOP 最重要的優勢很簡單:它讓我們在部署前即可避免不安全的基礎設施,而不是在部署後才偵測到這類問題。當然,我們還是會進行手動檢查,而我們並未在使用 DSOP 的地方發現任何安全設定問題。」

Stelligent 是 AWS 合作夥伴網路 (APN) 的高級諮詢合作夥伴,這家技術服務公司提供 AWS 上的 DevOps 自動化和託管服務。

如需進一步了解 Stelligen 如何協助您的公司建立與管理 AWS 環境,請參閱 AWS 合作夥伴目錄的 Stelligent 產品介紹。

進一步了解 AWS DevOps 服務。