Venafi发布了一项报告关于金融机构实践DevOps加密安全问题。在DevOps环境中,研发和测试协作产生的相关问题,会扩散到生产系统和应用程序中,因此放大了安全问题。对于早期实践DevOps的金融机构的来说,是特有的问题。 1 p) p) ?+ b2 h+ e# c& F6 c
% E, [1 H- U* c, y7 |
研究指出,许多金融机构的系统都有相当强大的密码安全策略,然而,在DevOps模式中,如此重要的措施却无法执行。此外,金融机构一旦使用DevOps,涉及到应用和更新方面的运行会使得漏洞更易出现,而这些漏洞原本是可以预防的。
8 s" g1 u! b; D8 L; @: A3 U# M
6 H6 [) A0 V4 L0 L% H! s
“在当今高度竞争的市场,金融机构使用DevOps模式提供了新功能且改善了用户体验。”Venafi首席安全策略师Kevin Bocek说,“然而,DevOps在安全、数据隐私和遵从性方面缺乏竞争优势。很明显,从手机银行到高速交易等方方面面,许多金融机构仍在执着于保护机器ID。尽管DevOps团队表明他们已经意识到TLS/SSL密钥和证书用普通方法建立ID会产生风险,但这种认识并没有被转换成实际意义上的保护。” 2 \5 F3 Y6 @2 D b
! J" q2 n: l! j4 ^
调研数据 " b! i. p! Z/ W
- |' l# e' M& o- o$ }
0 f6 i3 X2 g1 Q2 a* Z C0 X: {
+ _" b ^. f% ~+ ^
$ Q9 E: y+ z$ j0 x9 b/ W0 |
! G; }# `2 H- r
. w B$ S+ c+ ^( G9 f0 u
\8 F8 O+ q2 Z7 c+ D
: u1 D% c; D4 r. y$ j& T
) e+ `7 U* n: G+ a1 L
5 h6 X) L4 g: p
* j" J# B7 Z8 k1 C4 _( a7 K. o9 Q% O
Venafi的情报分析师Tim Bedard说“正如我们所看到的快速攻击(SWIFT attacks),金融机构对网络罪犯而言是一个很有吸引力的目标,如果DevOps团队提供给金融机构的密钥和证书都没有得到充足的保护,那么网络罪犯就能够利用SSL/TLS加密密钥和证书创建自己的加密通道。或者攻击者可以盗用SSH密钥内的网络,来提升自己的访问权限,在不被发现的情况下, 安装恶意软件或将企业的敏感数据大量泄漏。”
, k2 C8 r9 [# s1 ?- J
4 s* k- K. y- u0 P3 Z4 D) v
原文作者:Christian Hargrave、Assignment Editor
1 Z& l) a8 ~: }& w8 j. ^+ h |