网络安全
文章平均质量分 95
网络安全相关内容
夜夜流光相皎洁_小宁
九零后技术大叔,从事信息安全行业,架构师,JavaWeb、大数据、移动应用开发,关注移动应用安全、大数据安全、云原生安全、网络安全渗透、攻防等领域;喜欢交流和分享,喜欢读书,什么书都会读一读,比较杂;闲暇时间喜欢做技术总结,喜欢探索技术、解锁新技能。
展开
-
云计算的安全需求
云服务商应该在满足《网络安全法》、《数据安全法》和《个人信息保护法》等法律法规要求的前提下,在其与客户之间进行合理的安全责任划分。同时,云服务商为了更好地为客户提供服务,还要通过相关的云安全服务资质认证。本文从云安全服务能力要求、信息安全资质要求、云安全合规要求等内容讲述云安全需求内容。原创 2024-04-03 22:02:44 · 1673 阅读 · 3 评论 -
云计算存在的安全隐患
信息系统中的服务器、路由器、交换机、数据库、计算机终端以及各类软件系统,由于设计缺陷或管理操作失误,面临着极大的安全隐患和风险。云计算在操作过程中如果配置不当,也会给云计算服务带来极大的安全隐患。今天就介绍下ENISA云安全漏洞、云计算相关的系统漏洞和云安全相关的配置错误等内容。原创 2024-04-03 21:34:51 · 1542 阅读 · 3 评论 -
云计算面临的威胁
云计算承载了多种不同的应用,汇集了许多用户的信息,甚至包含许多敏感信息,容易成为黑客和不法分子的攻击对象。对云计算面临的威胁进行分析,并采取适当的安全措施来消减威胁,是云安全的核心工作之一。本文主要介绍了安全威胁建模和基于CSA云安全威胁分析等相关内容。原创 2024-04-01 20:58:03 · 1953 阅读 · 3 评论 -
典型周边生态系统
在DevSecOps的实施阶段,还需要和企业自身的研发管理体系打通,只有将这些系统之间的数据和能力打通,才能做到DevSecOps的可持续运营,为参与DevSecOps的各个角色提供数据分析,并帮助其做出改进决策。本节介绍这些典型的周边生态系统。原创 2024-03-31 16:54:13 · 828 阅读 · 3 评论 -
主流安全工具简介
在上一节中详细介绍了SAST、DAST、IAST和RASP等技术的基本原理、优缺点及使用场景。本节将从每一种技术中,挑选若干业界知名的安全产品,从产品的架构、使用、性能等重要参数来介绍,以帮助大家更深入地了解这些产品,也供工具选型时参考。主要介绍的工具有Fortify、Checkmarx、AWVS、Nessus、OpenRASP、DongTai、WAF等原创 2024-03-31 10:00:13 · 1098 阅读 · 3 评论 -
DevSecOps安全工具链介绍
建设DevSecOps平台的目标之一就是降低线上安全漏洞的数量和修复成本,围绕这一目标,其核心是构建和利用好各种自动化安全漏洞检测工具,并将其与CI/CD流水线进行自动化集成,在不影响研发效率的同时,确保安全漏洞能够及时、准确地发现。作为建设者,需要根据工具的特性和所适合嵌入的研发阶段,对安全工具进行分类,以明确安全工具在整个平台中的定位,构建安全发现能力的纵深,让各种安全工具各司其职,最终形成完整的安全工具链。本文带大家了解SAST、DAST、IAST、RASP工具类原创 2024-03-31 09:36:52 · 992 阅读 · 3 评论 -
持续交付/持续部署流水线介绍(CD)
在实际工作中,CI/CD通常是在一起的。但是为了详细地向大家讲述其中涉及的技术要求将其拆分,分别向大家讲述持续交付、持续部署与持续集成的流程,方便大家理解自动化流程是如何从测试环境向生产环境变化过渡的,下面就从这些变化点,结合前文的CI流程,来介绍CD操作流程和使用场景。并介绍公有云基于GitHub+Docker的持续交付/持续部署流水线方案和私有云基于Jenkins+Docker+K8s的持续交付/持续部署流水线方案。原创 2024-03-30 09:47:38 · 810 阅读 · 2 评论 -
持续交付/持续部署流程主要系统构成(CD)
熟悉CI/CD平台使用的读者想必知道,在业界,CI/CD流程的平台产品通常是在一起的。也就是说很多产品具备持续集成能力的同时,也具备持续交付、持续部署能力。用一句话总结就是,CI流程是生产出可用的软件制品包;CD流程是将软件制品包部署到测试、生产等环境以达到用户需求。从CI到CD的流程在平台实现上很多能力是可以公用的,典型的能力如任务管理、编排调度、系统监控等。除了这些公共能力外,想要实现上述CD流程的平台化,通常包含镜像容器管理系统、配置管理系统、运维发布管理系统等几个系统。原创 2024-03-29 19:10:14 · 1441 阅读 · 2 评论 -
持续交付与持续部署相关概念(CD)
本文将继续带领大家了解持续交付与持续部署的相关知识,打通产品版本发布到线上持续运营的流程,逐步完成从产品规划到产品线上运营的全流程覆盖。本文以持续交付、持续部署为主线,继续讲述DevSecOps平台里黄金管道子系统中持续交付与持续部署两个流程涉及的相关概念、系统及平台,帮助大家完善DevSecOps平台里黄金管道子系统相关领域知识。原创 2024-03-29 09:02:31 · 1480 阅读 · 2 评论 -
持续集成流水线介绍(CI)
持续集成流程在DevSecOps平台中主要表现为持续集成流水线,在实际的平台建设中,这一段流程的线上化过程通常是分阶段、分步骤实现的。大多数情况下,首先实现的是代码管理到集成测试这一段的线上化,然后再通过安全左移,逐步完成整个持续集成到持续开发的线上化。今天来介绍两个构建持续集成流水线的场景,即基于GitHub Actions方案的公有云建设和基于Jenkins/GitLab CI方案的私有云建设。原创 2024-03-28 09:23:43 · 1490 阅读 · 2 评论 -
持续集成流程主要系统构成介绍(CI)
一个标准的持续集成功能通过平台来实现时,它至少包含如下三个部分:版本控制系统、编译构建系统、编排调度系统。当然,一个完整的持续集成平台,除了上述三部分系统之外,还涉及到企业配置管理数据库(CMDB)、资源管理系统、制品仓库等其他系统内容。今天我就带大家了解下持续集成平台包含的核心三部分系统的运行原理、流程和使用到的工具。同时也粗略描述下其他涉及的系统。原创 2024-03-28 08:45:12 · 1073 阅读 · 2 评论 -
持续集成与版本控制的相关概念
在前面文章介绍DevOps模型时曾提及持续集成的概念,是指通过持续地将需求转化为开发的代码,合并到源码仓库主干分支上,并确保代码合并后的集成测试通过的这一段流程,今天我们就来看下持续集成与版本控制的相关概念原创 2024-03-27 07:15:24 · 1302 阅读 · 3 评论 -
DevSecOps平台架构系列-互联网企业私有化DevSecOps平台典型架构
通过之前两篇文章对微软Azure和亚马逊AWS DevSecOps平台架构的简单介绍,想必大家已经明白,依托CI/CD的DevOps管道和云原生基础设施构建高度自动化的DevSecOps平台能力已是业界普遍共识。CI/CD提供应用研发自动化流水线,云原生基础设施代码化提供持续集成到持续交付的自动化,共同完成DevSecOps能力从需求到生产环境运营的全流程覆盖。介绍完两家头部互联网企业的公有云DevSecOps平台架构,下面一起来看看常见的互联网企业私有化DevSecOps平台架构。原创 2024-03-27 06:59:49 · 1131 阅读 · 3 评论 -
DevSecOps平台架构系列-亚马逊云AWS DevSecOps平台架构
亚马逊云AWS也是较早开展DevSecOps实践的头部企业之一,在2017年AWS的技术博客中就曾讨论如何利用AWS Pipline构建DevSecOps平台能力。下面,我将从AWS DevSecOps 实施原则、AWS DevSecOps 关键组件、AWS DevSecOps 安全组件、AWS DevSecOps平台架构等方面的内容,带大家一起来了解一下AWS的DevSecOps平台架构。原创 2024-03-26 08:02:17 · 845 阅读 · 3 评论 -
DevSecOps平台架构系列-微软云Azure DevSecOps平台架构
一般来说,采用DevOps来作为研发管理实践是为了加快从需求到应用程序上线的速度,缩短开发周期,通过一致性管理流程和自动化管道,保障应用程序的开发质量。Azure云也不例外,不同的是Azure云自己开发了一系列的DevOps服务或组件,用于应用程序开发生命周期的端到端管理,包括规划、项目管理、代码管理、制品生成、版本发布等。微软Azure云的DevSecOps是在Azure DevOps基础上构建起来的,今天就围绕Azure DevOps和黄金管道、Azure DevSecOps关键安全组件等内容来描述架构原创 2024-03-26 07:40:18 · 1252 阅读 · 3 评论 -
云计算安全分析
云计算面临着一些与传统信息系统类似的安全风险,同时还存在一些云计算特有的安全风险,对这些风险进行分析和控制,是保障云安全的前提。本文对《信息安全技术-云计算服务安全指南》(GB/T 31167—2014)、《信息安全技术-云计算安全参考架构》(GB/T 35279—2017)以及ENISA都对云计算存在的安全风险进行了分析。原创 2024-03-24 22:34:45 · 787 阅读 · 3 评论 -
网络安全框架和云安全参考架构介绍
在云计算网络安全落地之前,调研市面上的网络安全框架和云安全参考架构,特别是国内等保2.0中关于云计算的架构内容,是极为重要的一件事件,关系着云计算安全能否落地的问题。在本文中,网络安全框架主要介绍由美国国家安全局组织专家编写的IATF框架和美国国家标准技术研究院 (NIST)编写的NIST框架。云安全参考架构内容,主要介绍了NIST建立的云计算参考架构内容、CSA云参考模型、IBM基于SOA的云通用安全架构以及国内等保2.0云安全防护技术框架等的相关内容。跟着我一起来看看吧,让我们一起快乐的学习,哈哈哈原创 2024-03-16 11:44:24 · 1270 阅读 · 6 评论 -
聊一聊常见的网络安全模型
在安全领域,有很多常见的网络安全模型,如基于时间的PDR模型、PPDR模型、PDRR模型、ASA模型等,了解这些模型,对我们在落地网络安全建设时能提供很好的帮助,今天我们就来聊一聊这些安全模型。原创 2024-03-12 12:44:43 · 1308 阅读 · 2 评论 -
云安全的基本概念(基本目标与指导方针)
云安全是云计算安全的简称。云安全的目标是保障在云上运行的各种应用的保密性、完整性、可用性、可审计性、不可否认性等安全目标的满足,同时保证云上数据的保护满足相应的法律、法规、标准以及业务安全要求。基于云计算的安全防护新理念主要体现在主动防御、诈骗防御、面向场景、普遍联系、智能闭环和循证评价等几个主要方面。今天我们就来聊一聊云计算安全的基本目标与指导方针。原创 2024-02-08 12:52:46 · 976 阅读 · 3 评论 -
云计算市场分析
云计算从出现以来,其发展就非常迅速。以IaaS行业为例,全球IaaS供应商主要有AWS(亚马逊云)、Azure(微软云)、阿里云、谷歌云、IBM云、腾讯云、华为云。其中,AWS是全球公有云IaaS市场的领先者,阿里云是中国公有云IaaS市场的领先者。本文从国外、国内市场角度分析了全球知名云计算服务厂商,并简略介绍了各云服务厂商提供的云计算服务和各自云服务在市场取得的份额与成就等内容。原创 2024-02-05 11:42:48 · 1755 阅读 · 7 评论 -
云计算运营模式介绍
运营商作为云计算产业链的重要参与者,通过积极向企业级市场以及细分行业领域渗透,推动了云计算服务的高速发展。云计算本身提供了IaaS、PaaS和SaaS三种服务模式,而在具体的运营中,云服务提供商和用户共同分担安全责任,不同服务模式下二者的安全责任也不相同。本文介绍了云计算的三种运营模式,分别为IaaS 、PaaS、SaaS三种,且说明了云计算服务角色的划分、云计算安全责任模型以及云计算服务的交付模式等相关内容。原创 2024-02-05 11:23:50 · 2580 阅读 · 5 评论 -
云计算关键技术
云计算的实现采用分层架构,其中的关键技术包括虚拟化技术、分布式数据存储技术、资源管理技术、云计算平台管理技术和多租户隔离技术等。今天就来介绍下云计算的关键技术内容原创 2024-02-04 09:39:41 · 1333 阅读 · 1 评论 -
云计算参考架构
NIST和云安全联盟都提出了云计算的参考架构。其共同点是对云计算架构进行分层,从云服务、云管理和云安全等三个方面规定了云计算的整体架构。本文从云计算功能架构、云计算架构层次划分、云计算测评基准库、云计算共同关注点等方面介绍整个云计算的架构和安全内容。原创 2024-02-04 09:28:40 · 1223 阅读 · 4 评论 -
云计算基础(云计算概述)
2006年,Google提出了“云计算”的想法,推出了“Google 101计划”,并正式提出“云”的概念。云计算从提出到现在,取得了长足的发展和翻天覆地的变化,已在全世界广泛应用。云计算是将分散的计算资源、存储资源等集成在一起,通过网络提供给用户,是一种全新的服务模式。云计算通过虚拟化技术和弹性技术,能提供很强的扩展性和适用性。云计算是继互联网、计算机技术后网络信息领域发生的一次新的技术革新。今天我们先来了解下云计算的相关概念原创 2024-02-02 11:58:29 · 1275 阅读 · 3 评论 -
DevSecOps平台架构组成
既然DevSecOps平台建设的需求来源清楚了,那么,接下来以这些需求为出发点,介绍一个DevSecOps平台的基本架构组成。DevSecOps平台包含黄金管理、工具链、周边生态子系统,他们依托基础仓库,对基础设施资源进行调度和管理,一起组成了整个DevSecOps平台的全部。通过平台向用户提供涵盖规划、编码、构建、测试、发布、部署和维护等研发工作的平台能力,向平台管理者提供平台使用率、平台可用性、漏洞平均检测时间、漏洞平均修复时间、自动化覆盖率等管理数据。原创 2024-02-01 09:31:19 · 1162 阅读 · 4 评论 -
DevSecOps 平台需求来源分析
在正式介绍DevSecOps平台架构之前,先来介绍一下DevSecOps平台的需求来源,从业务源头了解为什么必须要建设DevSecOps平台这件事。在很多企业,当DevSecOps被当作企业战略的一部分时,是从企业的总体规划去考虑的。无论是在企业战略中提高安全的重要性,还是把安全性当成其他的质量指标,其本质仍然是通过流程化管理,加强不同开发团队之间的沟通与协作,保障输出产物的一致性和标准化,从而达到控制软件质量品质的目的。原创 2024-01-31 10:21:26 · 1107 阅读 · 3 评论 -
大中型企业DevSecOps建设
与中小型企业相比,大中型企业的DevSecOps建设明显要复杂许多。这种复杂度与业务规、业务种类、人员数量、组织分工等因素是息息相关的。面对这些复杂的因素,在开展DevSecOps建设时,通常采用PDCA管理思路来制定建设规划,跟踪规划落地进度,以推动DevSecOps安全建设,达到企业在安全领域的战略目标。原创 2024-01-31 09:42:33 · 1294 阅读 · 4 评论 -
中小企业开展DevSecOps建设内容介绍
中小型企业开展DevSecOps建设的不在少数,甚至部分企业在DevSecOps建设水平上已经远超大多数互联网头部企业。这是因为中小型互联网企业的业务特点和业务体量,决定了它们在DevSecOps方面的天然优势要强于互联网头部企业。下面,就来介绍中小型企业的DevSecOps建设规划。原创 2024-01-30 10:50:31 · 1018 阅读 · 4 评论 -
DevSecOps 建设规划之制定实际可达的演化路径
了解完DevSecOps基本概念、参考模型、成熟度模型之后,接下来来看看DevSecOps建设规划。一份细致的、做过详实调研后制定出来的建设规划才是切实可行的、务实的。在开展DevSecOps规划之前,首先需要判断当前所在的企业是否真的需要开展DevSecOps体系建设。接着,就需要制定切实可行的规划和分步建设的落地策略。做好这些工作之后,就可以按照计划去落地演进DevSecOps建设了。本期我们就来聊聊DevSecOps建设规划方面的内容。原创 2024-01-30 10:19:45 · 1114 阅读 · 3 评论 -
DevSecOps 度量指标介绍
介绍完DevSecOps成熟度模型,接下来来了解一下DevSecOps的度量指标。任何一家企业,当开始规划DevSecOps,推动DevSecOps在企业落地时,一定是通过管理流程和组织承载让DevSecOps相关的具体任务与管理指标保持一致,以运营管理的方式跟踪任务进度,以促进目标的达成。这其中,就需要用到DevSecOps度量指标。原创 2024-01-29 11:06:09 · 1027 阅读 · 1 评论 -
DevSecOps 成熟度模型介绍
成熟度模型通常被用来评估一个组织或系统实现持续改进的能力,通过创建评估机制,收集各类数据加以分析,以评估当前流程、技术及体系运转的有效性,借鉴成熟度模型的分层,确定当前建设水平,规划未来的改进方向,以促进体系运转的不断迭代和自我更新。在DevSecOps体系建设过程中,DevSecOps成熟度模型通常和体系参考模型一样,被用来规划和指导后续DevSecOps工作的开展。在业界,DevSecOps的成熟度模型除了前文提及的DoD的成熟度模型外,还有美国总务管理局GSA提供的DevSecOps平台成熟度模型原创 2024-01-29 10:55:08 · 971 阅读 · 1 评论 -
DevSecOps核心流程基本组成分析
在前文讨论 DevOps时介绍了DevOps的管道和流程,不同的是前文仅仅从DevOps角度阐述。这里,再次从DevSecOps的角度,为大家讲述DevSecOps的核心流程。然后通过举例分析Azure DevSecOps核心流程经典场景实现,帮助大家理解DevSecOps的核心流程,Les't Go!原创 2024-01-28 13:35:00 · 1250 阅读 · 1 评论 -
DevSecOps 参考模型介绍
在 DevSecOps的发展过程中,从DevSecOps理论的出现,到如今 DevSecOps 大量实践的落地,先后产生了一系列与DevSecOps有关的模型,这其中比较有代表性的模型分别是:DevOps 组织型模型、Gartner 普适性模型、DoD 实践型模型。今天我们就一起来分析下这些安全模型。原创 2024-01-26 11:49:56 · 1995 阅读 · 2 评论 -
DevSecOps 发展历史概述
DevSecOps 概念在业界的提出已经有些年头,但一直不温不火,直到近些年云原生技术和自动化运维技术的发展,才使得DevSecOps变得火热起来。下面跟随我,我们一起来看看DevSecOps的发展历程,同时,分析一下影响DevSecOps发展的关键因素是什么?分析下未来DevSecOps的发展趋势如何?Let's GO!原创 2024-01-26 11:11:14 · 1114 阅读 · 2 评论 -
DevSecOps理论概述
网络空间安全是近几十年才逐渐兴起的行业,在行业发展的过程中,随着内外部安全环境的变化和从业人员对网络空间安全理解的加深,先后出现了不同类型的安全治理框架,它们在不同的安全领域发挥着独特的作用,这些框架或标准模型在指导安全从业人员开展安全改进工作中起到了关键的作用。DevSecOps也是这样一个模型或框架,它是过去十几年,各大互联网企业在不断的安全实践中,总结失败经验,寻找成功路径,逐步形成的一套被业界所认可的契合互联网企业业务模式的安全工程实践。原创 2024-01-25 12:07:33 · 934 阅读 · 1 评论