别让安全问题拖慢了 DevOps！

DEVSECOPS 所面临的挑战

敏捷开发和 DevOps 方法的出现使软件开发的速度与质量都有所提高，但它们不经意地也为安全机构增压很多。从前的安全策略是基于静态数据的，而在产品上线前才应用这些策略，或手动调整规则，会使设定策略的时间很是紧张，从而影响到发布产品的质量，增长出错的风险，拖慢整个 DevOps 周期。同时，使用 DevOps 配置工具来设定安全策略，也会使公司暴露于风险之中，由于这些工具都缺乏临界控制，同时没法集成到安全架构的其余部分中去。

CLOUDPASSAGE 公司的 HALO CloudPassage® Halo® 则能够解决这些困难。它为安全团队和 DevOps 团队提供了一个敏捷的、安全的合规平台。这个平台能够跨越任何云以及虚拟设施开展工做，包括公有云、私有云、混合云、多重云、以及虚拟数据中心，甚至还包括裸机。这是一个独一无二的平台，用户能够在平台上不间断的观察并管理本身的系统。所以，这个平台支持当即响应和快速部署，同时也是彻底自动化的。平台规模也可大可小。Halo 平台提供安全自动化的解决方案，并可与 Chef、Puppet 和 Ansible 这类配置工具相整合。

如今，安全能够参与到 DevOps 周期中去了，从开发、测试、到产品上线，而且绝不影响 DevOps 原有的速度与敏捷性。如今，安全策略的制定基于应用的逻辑组合，而再也不是静态网络参数了，这自动保护了新的负载。经过这种方式，用户能够在开发阶段就应用多层保护策略，而没必要等到最后时刻。

CloudPassage Halo 的用户经过一个简单的交互界面，就能够全方位观察他们的系统。这些软件如此轻量级，且彻底无干扰，所以能够被部署到任何服务器实例，任何地方。软件的部署是经过配置工具来完成的，支持手动或使用脚本部署，即使是部署在运行中的系统里，也无需重启系统。经过 Halo，您能够管理动态负载防火墙、接收关键安全事件报告、检测到全部系统中新发现的安全漏洞、发现错误的配置、同时当负载被篡改时收到告警。

产品特性

• 配置安全监控：几秒钟以内便可基于最新的配置策略完成对新的和被从新激活的服务器的评估，几乎不占用 CPU 。 Halo 可自动监控操做系统和应用的配置、进程、网络服务和用户权限等等。

• 多重网络身份验证：隐藏服务器端口使其更加安全，同时容许受权用户有须要时临时访问服务器。对于远程网络访问，无需额外的软件或设置，Halo 自带双重验证功能（经过向手机发送 SMS，或使用 YubiKey®）。

• 软件漏洞评估：几分钟以内就完成对大量服务器配置点的扫描，时刻观察服务器是否暴露。在您的全部云环境中，Halo 可自动检测出软件包的漏洞。

• 动态负载防火墙管理：可在任何云环境轻松部署并管理动态防火墙规则。经过一个简单的 Web 界面创建防火墙规则，而后分配到各组服务器。当增减服务器、更改 IP 地址时，防火墙规则可自动更新。

• 文件完整性监测：持续监控您的云服务器，保护重要的系统二进制文件和配置文件不会受到未经受权的或恶意的变动。Halo 首先会记录下云服务器系统的“清洁”状态，做为基准。接着它会按期扫描各个服务器实例，将扫描结果与基准比对。任何不一致都会被记录下来，并报告给相关的管理员。

• 服务器访问管理：轻松识别无效和过时帐号。Halo 帮您了解各个帐号可访问的服务器、帐号的操做权限以及帐号的使用记录。您能够经过一个在线管理控制台，监控全部的云服务器。

• 事件记录与告警：轻易管理并检测一系列事件及系统状态。有了 Halo，您能够定义哪些事件值得记录或告警、事件的严重程度、以及接收告警的人员名单。

配置工具服务

CloudPassage Halo 旨在创建一个抽象化、自动化、可与配置工具集成、自动扩展而且支持 API 的平台，这些都是保护动态云设施所必备的基本要素。客户可经过 Halo 的界面或其余流行的配置工具，彻底自动地实现安全策略设定。

可集成性

CloudPassage Halo 平台支持开放的、RESTful API，所以能够轻松与多种安全和操做解决方案相集成。 欢迎登陆咱们的网站，查看最新的已完成的集成测试名单。

原文地址：http://note.youdao.com/share/web/file.html?id=458a50c56f02096a6d24f9e3d0e94c5c&type=note

现在，多样化的攻击手段层出不穷，传统安全解决方案愈来愈难以应对网络安全攻击。OneRASP 实时应用自我保护技术,能够为软件产品提供精准的实时保护，使其免受漏洞所累。想阅读更多技术文章，请访问 OneAPM 官方技术博客。
本文转自 OneAPM 官方博客