使用PAM保障开发运营安全

最新推荐文章于 2024-07-19 16:20:10 发布

程序员小强_

最新推荐文章于 2024-07-19 16:20:10 发布

阅读量538

点赞数 27

文章标签：安全

本文链接：https://blog.csdn.net/dzqxwzoe/article/details/136922260

版权

本文讨论了在DevOps系统中硬编码凭据带来的安全隐患，介绍了特权访问管理（PAM）的概念及其在Kubernetes和CI/CD平台中的应用，包括PAM360工具如何保护机密信息，确保安全的密码访问和自动化任务身份验证。

摘要由CSDN通过智能技术生成

硬编码凭据和 DevOps 系统中缺乏凭据安全性是组织的巨大漏洞。以明文形式访问凭据的恶意内部人员可以在 IT 中建立和扩展其立足点
基础设施，构成巨大的数据被盗风险。

什么是PAM

特权访问管理（PAM）是指一组 IT
安全管理原则，可帮助企业隔离和管理特权访问、管理特权帐户和凭据、控制谁可以获得对哪些端点的管理访问权限级别，并监视用户对该访问权限执行的操作。

特权访问管理（PAM）如何工作

特权访问管理是将具有提升访问权限（也称为特权访问权限）的选定用户委托给对其工作职能至关重要的业务关键型资源、帐户和凭据的过程。对于特定于任务的访问权限，任务完成后，将撤销提供给用户的访问权限。

换句话说，通过特权访问，特权用户可以访问特权帐户、凭据、系统、服务器、数据库等，以执行重要任务，包括管理和修改这些帐户和资源。特权访问管理是治理和管理此访问的过程。

尽管提供特权访问对于允许员工执行关键工作职能很重要，但它也涉及高风险的暴露。由于特权用户可以访问多个密钥凭据和资源，因此遭到入侵的特权用户或帐户可能会造成高昂的代价。

因此，特权访问管理还涉及对特权用户的持续监视，以确保他们不会滥用其访问权限。这需要定期查看分配的权限，并在用户在组织中的角色发生更改时撤销多余的权限。

使用PAM工具保障开发运营安全

将特权访问安全性纳入 Kubernetes 编排工作流
确保 CI/CD无忧、不间断地运行
使用智能密码访问自动化对 RPA 例程进行身份验证
Automation Anywhere 集成
Cortex XSOAR 集成

将特权访问安全性纳入 Kubernetes 编排工作流

PAM360 与 Kubernetes 集成以发现和保护分布在多个集群中的机密。为了自动执行特权任务，Kubernetes环境中的应用程序和服务必须连接到
Kubernetes 服务器内外的端点，此连接通常使用机密进行身份验证，机密包含可用于记录的用户名、密码和计算机标识（在 Base64 编码的键值对中可用）
在这些端点中。

PAM360 通过与 Kubernetes 的无缝集成，促进对机密的有效管理，使您能够：

发现命名空间、密钥和包含密钥（键值对）的 JSON 文件并将其添加到 PAM360 中，并分别将它们存储为资源和帐户。
将键值对映射到目标终端节点的相应特权账号，例如数据库、操作系统、网络设备等。
通过 PAM8 为目标端点启动远程或本地密码重置，管理和轮换 K360 集群的机密。

确保 CI/CD无忧、不间断地运行

PAM360 为各种 CI/CD 平台提供了插件，可帮助组织恢复其 DevOps
环境中的安全性。这些插件消除了在脚本文件中嵌入的需要，使进程和应用程序能够获取凭据从 PAM360 的保险库中，无需人工干预。PAM360 还允许 IT
管理员为 DevOps 系统定义访问控制和批准策略，确保授予的权限不超过所需的权限。

PAM360 插件目前可用于以下 CI/CD 平台：

Ansible
Chef
Puppet
Jenkins

![在这里插入图片描述](https://img-
blog.csdnimg.cn/9ca5e46ae78843f89c3e01ef0097d6f9.png#pic_center)

持续集成和持续交付（CI/CD）
平台是自动化工具，可帮助组织通过管道自动执行配置管理，以在没有人工监督的情况下运行日常任务。执行这些任务通常需要敏感信息（如特权密码、API
密钥和访问令牌）才能与环境中的其他系统、应用程序和服务进行交互。在大多数 DevOps
环境中，此类凭据以明文形式存储在脚本文件中，以实现任务顺利执行，但这可能会导致许多安全问题。

为了降低此类风险，PAM360 通过提供与各种 CI/CD 工具的集成功能，帮助消除 DevOps 管道中的嵌入式凭据。该集成可确保每次执行任务时都能从
PAM360 的保管库中安全地检索所需的凭据，而不是以明文形式存储在脚本文件中。

使用智能密码访问自动化对 RPA 例程进行身份验证

PAM360 提供与 Automation Anywhere 和 Cortex XSOAR
的开箱即用集成，以管理其敏感身份，例如密码、密钥、证书等。通过这种集成，RPA 团队可以自动执行定期获取和轮换
机器人无需任何手动干预即可执行日常特权任务所需的敏感凭据。此外，RPA 团队可以利用 PAM360 的高级访问控制工作流程，根据要求的有效性。

Automation Anywhere集成

PAM360 与 Automation Anywhere
集成，如果您的组织需要一个由bot操作的安全远程登录设置，您可以将PAM360的bot与任何bot(专门用于启动远程连接)关联起来，以安全地从PAM360的密码库获取必要的凭据并启动远程连接。

安全地获取存储在PAM360密码库中的密码，以使用这些密码连接到远程机器、应用程序或数据库。
定期轮换密码，以确保遵守合规政策和不间断地运行bot例程。

Cortex XSOAR集成

PAM360与Cortex XSOAR集成：

通过自动获取存储在PAM360的保险库中的凭证来配置Cortex XSOAR中的实例。
在Cortex XSOAR实例上执行与密码相关的操作，例如重置密码以及获取资源和帐户详细信息。

[PAM360](https://www.manageengine.cn/privileged-access-
management/download.html?csdn)
提供强大的特权访问管理（PAM）能力，使企业在不断增长的安全风险下获得有力的安全支持，它可确保所有针对关键资产的特权访问任务都能够执行集中管理、约束控制、事后追溯取证。

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。