RASP技术在DevOps中的安全应用

简介: 由于现代应用程序安全检测和保护技术运行缓慢,无法跟上DevOps对敏捷性的要求,而RASP技术的出现为企业提供了必要的DevOps安全能力。

随着新技术的不断演进,DevOps开发模式不断被利用,Web应用程序的开发相比过往更高效。随之而来的是保护这些应用程序同样面临着巨大挑战,黑客的攻击手段不断多变,而DevOps团队成员却不都是安全专家,难以保证应用程序的安全性。RASP是一种在服务器上运行并在应用程序开始运行时生效的技术,可用于实时检测黑客对应用程序的攻击,是DevOps开发模式下的极佳选择。

RASP适合DevOps的3个原因

放眼当下,众多软件开发流程使用持续集成/持续交付(CI/CD)工具进行管理,这些工具可以自动化整个发布流程。RASP技术有如下3个原因比较适合DevOps开发中的 CI/CD。

  • * RASP与DevOps集成以简化开发

传统上,开发人员往往需要较长的时间进行Web应用程序开发,并慢慢完成应用程序代码的构建、测试和bug修复。随着敏捷开发模式的盛行,缩短了应用程序开发、上线运营时间,而RASP可以检测到任何bug或漏洞,并实时解决问题,确保应用程序的所有版本都是安全的。

  • * RASP减少了开发人员采取安全措施所需的时间

尽管Web应用程序防火墙(Web Application firewall, WAF)是最常见的网络保护形式之一,但随着黑客攻击应用程序的威胁不断演变,它已不再是抵御威胁的有效方法。WAF只能保护应用程序的外围,并要求开发人员在出现漏洞时手动梳理代码行来定位漏洞,然后再手动修复问题。此外,安装、更新和配置防火墙可能很麻烦,这就要求开发人员在需要进行更新或重新配置时必须使应用程序脱机。而使用RASP,漏洞可以自动识别、精确定位并修补,无需开发人员进行必要的干预,使他们能够将更多的精力放在编码和开发更好的应用程序上。RASP程序的安装和更新也非常容易,通常需要两分钟左右的时间来准备运行和完全配置。

  • * RASP让开发人员专注于开发提升了上线速度

当采用了RASP之后,开发人员可以将更多精力专注于开发上,避免了过多的时间浪费在漏洞的查找和修复中,可以大大加快应用程序上线的速度。

RASP在DevOps中的技术应用

由于现代应用程序安全检测和保护技术运行缓慢,无法跟上DevOps对敏捷性的要求,而RASP技术的出现为企业提供了必要的DevOps安全能力。

  • * 测试技术

在交互式应用程序安全测试(IAST)用例中,RASP通常用于应用程序安全测试。在这种情况下,RASP运行在测试服务器上,并报告检测到的安全漏洞。

  • * 保护技术

RASP用于应用安全保护时,通常运行在生产服务器上,对检测到的漏洞进行屏蔽。在此上下文中,RASP由一个插装到生产服务器中的代理组成。它不需要诱引器,因为任何黑客活动都可以激活RASP。

  • * 诊断技术

当安装在生产服务器上时,RASP还会执行运行时安全诊断。虽然它的保护功能被停用,但报告功能仍然处于使用状态。RASP将在DevOps安全性的成熟、发展和采用中扮演重要的角色。

RASP适用 DevOps中的3个阶段

通常,RASP驻留在应用程序服务器序中,因此它是应用程序交付过程的一部分。RASP提供了两种不同的方法来帮助解决应用程序安全性问题。第一个是在预发布或预部署阶段,而第二个是在生产阶段。无论哪种方式,部署看起来都非常相似。但是根据选择的不同,用法可能会有很大差异。

  • * 发布前测试

RASP用于应用程序完全构建完成并在启动之前进行最终测试的时候。在这里,RASP可以以几种方式部署。可以将其部署为仅进行监视,使用应用程序测试和测试运行时行为来了解如何保护应用程序。另外,RASP可以在试图破坏应用程序而调用安全测试时进行监控,用RASP执行安全分析并传输其结果。开发和测试团队可以了解RASP是否检测到被测试的攻击。最后,RASP可以在完全阻塞模式下部署,以查看安全测试是否被检测和阻塞,以及它们对用户体验的影响。这为在应用程序投入生产之前更改应用程序代码或增强RASP规则提供了机会。

  • * 生产测试

一旦将应用程序放在生产环境中,在实际客户使用它之前或之后,可以配置RASP来阻止恶意应用程序请求。无论RASP工具如何工作(无论是通过嵌入式运行时库、servlet过滤器、内存中执行监控,还是虚拟化代码路径),它都通过检测实时运行时行为中的攻击来保护应用程序。这个模型本质上提供了执行路径扫描,监视所有用户请求和参数。与在网络或web代理层阻止请求的技术不同,RASP在应用层检查请求,这意味着它可以完全访问应用程序的内部工作。与外部安全产品相比,API层提供了更好的可见性来确定请求是否是恶意的,以及更集中的阻塞功能。

  • * 运行时保护

RASP最终不只是用于测试,而是用于完整的运行时保护和阻止攻击。


写在最后

伴随着越来越多的企业使用DevOps的开发模式,当融入sec的安全理念时也就为DevOps开发提供了一个全面的安全解决方案。除了大家熟知的AST测试工具,还有我们今天跟大家分享的RASP技术,更多的就是解决了“Ops ”(DevOps 的运维部分)安全。后面为大家分享更多关于RASP的相关技术,探讨它的安全应用。


悬镜云鲨RASP官网:


https://rasp.xmirror.cn/

目录
相关文章
|
2月前
|
监控 安全 Devops
DevOps实践中,如何平衡开发速度和安全审核的效率
DevOps实践中,如何平衡开发速度和安全审核的效率
|
15天前
|
运维 安全 Devops
DevOps实践中的安全审核和合规性
在DevOps实践中,确保安全审核和合规性至关重要。通过自动化合规审查、持续安全集成、基础设施即代码管理、敏捷合规框架、跨部门合作、教育与培训、实施DevSecOps模型、使用安全编码技术、整合正确工具及采用安全即代码等措施,组织能有效管理并降低合规与安全风险,促进高效可靠的DevOps文化发展。
|
25天前
|
运维 安全 Devops
DevOps实践中的安全审核和合规性
DevOps实践中的安全审核和合规性
|
25天前
|
监控 安全 Devops
DevOps实践中,如何平衡开发速度和安全审核的效率?
DevOps实践中,如何平衡开发速度和安全审核的效率?
|
28天前
|
运维 安全 Devops
DevOps实践中的安全审核和合规性
DevOps实践中的安全审核和合规性
|
2月前
|
运维 安全 Devops
DevOps实践中的安全审核和合规性
DevOps实践中的安全审核和合规性
|
3月前
|
Devops jenkins 持续交付
DevOps实践:构建和部署一个Docker化的应用
【9月更文挑战第14天】在当今快节奏的软件开发领域,DevOps已经成为提升效率、加速交付的关键。本文将引导你理解DevOps的核心概念,并通过一个实际的示例—构建和部署一个Docker化的应用—来深入探讨其实践方法。我们将从简单的应用出发,逐步实现Docker容器化,并最终通过CI/CD流水线自动化部署过程。这不仅是对DevOps流程的一次实操演练,也是对现代软件开发理念的一次深刻体验。
|
3月前
|
运维 Cloud Native Devops
云原生架构的崛起与实践云原生架构是一种通过容器化、微服务和DevOps等技术手段,帮助应用系统实现敏捷部署、弹性扩展和高效运维的技术理念。本文将探讨云原生的概念、核心技术以及其在企业中的应用实践,揭示云原生如何成为现代软件开发和运营的主流方式。##
云原生架构是现代IT领域的一场革命,它依托于容器化、微服务和DevOps等核心技术,旨在解决传统架构在应对复杂业务需求时的不足。通过采用云原生方法,企业可以实现敏捷部署、弹性扩展和高效运维,从而大幅提升开发效率和系统可靠性。本文详细阐述了云原生的核心概念、主要技术和实际应用案例,并探讨了企业在实施云原生过程中的挑战与解决方案。无论是正在转型的传统企业,还是寻求创新的互联网企业,云原生都提供了一条实现高效能、高灵活性和高可靠性的技术路径。 ##
221 3
|
4月前
|
Devops 虚拟化 Docker
DevOps 中的标准虚拟化技术
【8月更文挑战第27天】
60 5
|
4月前
|
Prometheus 运维 监控
Grafana 在 DevOps 中的应用
【8月更文第29天】Grafana 是一个开源的数据可视化平台,它可以连接到多种数据源,从简单的指标到复杂的查询,都能轻松创建出漂亮的图形化仪表板。在 DevOps 领域,Grafana 被广泛应用于性能监控、故障排查、服务可用性监控等方面。本文将详细介绍 Grafana 如何支持 DevOps 团队的工作,并提供一些具体的使用案例和代码示例。
43 1