Venafi发布了一项报告关于金融机构实践DevOps加密安全问题。在DevOps环境中,研发和测试协作产生的相关问题,会扩散到生产系统和应用程序中,因此放大了安全问题。对于早期实践DevOps的金融机构的来说,是特有的问题。 $ v3 J# H$ d$ V- Y8 j
T! C! D9 H* U& B
研究指出,许多金融机构的系统都有相当强大的密码安全策略,然而,在DevOps模式中,如此重要的措施却无法执行。此外,金融机构一旦使用DevOps,涉及到应用和更新方面的运行会使得漏洞更易出现,而这些漏洞原本是可以预防的。
1 ^% ]3 F7 c/ m6 t- k
! c4 b G6 F3 u/ C. v/ n- n
“在当今高度竞争的市场,金融机构使用DevOps模式提供了新功能且改善了用户体验。”Venafi首席安全策略师Kevin Bocek说,“然而,DevOps在安全、数据隐私和遵从性方面缺乏竞争优势。很明显,从手机银行到高速交易等方方面面,许多金融机构仍在执着于保护机器ID。尽管DevOps团队表明他们已经意识到TLS/SSL密钥和证书用普通方法建立ID会产生风险,但这种认识并没有被转换成实际意义上的保护。” / z4 A8 i$ S! k
" k& w& v& n1 B/ h# ]6 M
调研数据 5 w X! E1 g7 m4 G9 R' ?9 C. {
3 G* o7 h8 v' j8 O5 X( E6 j
/ ^) ?! g; G" [9 |7 D8 e
, K& M9 g2 r2 W0 j" ~
5 U" ^& }1 W$ j% {& q7 `9 a; k
% y4 Z& M% S3 L8 N! f& B
' b1 a2 r! D9 [7 v; D2 N' Z
. M& m6 Y2 W# b$ a
7 e7 \! T5 [ m+ N) s- X
6 K$ r9 E7 D: ? {. N
. t3 a! D- m& d9 u5 J1 z
+ F# h* h' d1 d R1 [, e
Venafi的情报分析师Tim Bedard说“正如我们所看到的快速攻击(SWIFT attacks),金融机构对网络罪犯而言是一个很有吸引力的目标,如果DevOps团队提供给金融机构的密钥和证书都没有得到充足的保护,那么网络罪犯就能够利用SSL/TLS加密密钥和证书创建自己的加密通道。或者攻击者可以盗用SSH密钥内的网络,来提升自己的访问权限,在不被发现的情况下, 安装恶意软件或将企业的敏感数据大量泄漏。” ( h9 e) H4 ~/ R: b; a F
: c8 x1 @# o8 B% Z0 b6 H' Z
原文作者:Christian Hargrave、Assignment Editor
9 A2 c/ m! z- ~, g' Y5 q |