基础架构即代码 (IaC) 改变了我们管理云操作的方式,通过一个配置文件,按需推出基础架构变得无比轻松和快捷。
我们将深入探讨采用 AWS 任何即代码模型所带来的底层堆栈带来的好处和安全挑战。我们还将介绍为任何堆栈提供基线安全控制 的最小可行安全( MVS ) 方法。
拥抱Everything-as-Code模型
根据 IaC 的原则,组织越来越多地为技术堆栈的不同组件采用代码框架,包括安全性、策略、合规性、配置和操作。AWS 支持各种 as-code 框架,包括他们自己的 CloudFormation、Terraform、Pulumi,甚至最近以 AWS CDK 的形式推出了他们的下一代 IaC。通过提供 API 来供应和管理资源,现在可以通过定义简单的、基于代码的模板来构建复杂的云架构。
借助环境即代码管道,组织可以利用相同的代码,通过单个工作流程跨多个区域和帐户管理和扩展其部署环境。
为基线安全控制采用最低可行安全
虽然 IaC 框架具有跨整个堆栈的自动化优势,可实现更快速的交付和更严格的控制,但保护每个环境都面临着一系列独特的挑战。最重要的是,随着围绕安全和漏洞不断产生的所有噪音和恐慌,刚起步的组织很难理解最低限度的关键控制,以及什么应该超出范围。最终结果是,努力推出其产品的第一个版本的新兴公司对他们实际需要实施的基线安全性知之甚少。
为了解决这个问题,MVS 方法提供了一个供应商中立的安全基线,可以降低部署基础架构时的复杂性和开销,特别是云(本机)环境。与敏捷方法类似,MVS 专注于关键安全控制的最小候选清单,为已发布的产品添加一些初始安全性以应对最常见的威胁。这种方法可帮助组织建立足够的安全态势,同时无缝集成到用于配置当今复杂的基于云的环境的现有自动化工具和管道中。