Рубрики
Uncategorized

Облачные службы безопасности поп

В рамках нашей общей инструментарии автоматизации безопасности мы используем ряд сторонних облачных услуг … Теги за безопасностью, DevOps, Automation.

В рамках нашей общей автоматизации автоматизации безопасности мы используем ряд сторонних облачных услуг, которые позволяют нам воспользоваться опытом и специализацией в этих партнерах.

Услуги, которые мы используемым:

  • Наверное
  • Призрачный инспектор
  • Buildkite.
  • Сентиментальный

Наверное

Вероятно Это служба сканирования безопасности, которая предлагает множество различных сканов. Молния Scans Проверьте конечные точки для основных вопросов, и мы запускаем их против производственных и промежуточных сред до начала рабочего дня, и незадолго до конца.

Мы используем расширение OWAPP до более подробного сканирования, и мы запускаем это несколько раз в неделю. Это сканирование — это больше похожего на ручное тестирование проникновения (и есть человеческий элемент для процесса, чтобы он не был полностью автоматизирован), и когда нас просят результат нашего последнего теста на проникновение, я теперь поставляю самый последний экспорт PDF докладчик. Пока что это сохранило аудиторов и исследователей счастливыми.

Когда мы сначала запустили проблему в наших настройках AWS и приложений, и мы почувствовали, что было важно получить чистый отчет, поэтому мы решили проблему, и, как правило, мы пытаемся решить любые проблемы, которые он поднимает в течение двух недель своего открытия. В последнее время мы обнаружили, что очень немногие почувствуют, что клиенты имеют нулевые проблемы в своих сканах, и клиенты были одинаково подозрительны. Если бы я знал, что тогда я мог бы сохранить в низкой приоритетной проблеме.

Исправив различные проблемы HTTP-прокси-сервера наиболее воспитанные проблемы, которые в настоящее время находят для нас наших вопросов стиля XSS. Это изменило некоторые из способов использования наших функций сейчас.

Призрачный инспектор

Мы начали использовать Призрачный инспектор Как способ улучшить наши интеграционные тестирования и удаления некоторых из беговых испытаний, которые происходят в нашей тестовой системе бегуна.

Это была такая спасательная спасатель с точки зрения ловли регрессии, что она ужасает не иметь его эквивалентной системы. Теперь редко мы отправляем регрессию до производства, которую мы должны вернуться. Подавляющее большинство попадают в процесс тестирования.

Ghost Inspector позволяет вам захватить тестовые сценарии через плагины браузера, но полученные селекторы CSS, как правило, очень специфичны и хрупкие. Система входит в свою собственную, если вы на самом деле программируете шаги самостоятельно.

Тестовые шаги могут быть абстрагированы в модули и пересчитать. Система имеет довольно хорошие инструменты сравнения скриншота. Полная история пробега и сбоев (снова обеспечивая отличную проверку аудита). Видео доступны, что произошло во время прогона теста. Он также предоставляет поддельную систему электронной почты, которая является то, что мы думали, мы собирались построить себя.

Призрачный инспектор изменил то, как мы приблизились к некоторым способам, мы теперь разрабатываем систему. У нас есть экраны, которые специально предназначены для выставления информации для инспектора Ghost для проверки. Мы массово улучшили структуру нашего дома, чтобы быть более читаемым машиной.

У нас также есть несколько классических горячих точек в нашем коде, например, первичные ключевые ключи, используемые в качестве параметров страницы, где было бы слишком сложно переключиться на непрозрачные идентификаторы, поэтому вместо этого у нас есть регрессионные тесты, которые пытаются получить доступ к различным страницам путем прямого доступа, чтобы подтвердить, что система контроля доступа работает как предназначено. Это единственный способ запретить большую переписать, что мы могли бы гарантировать, что эта потенциальная дыра в безопасности не на самом деле не проблема.

Мы также видели, что многие наши клиенты используют процесс тестирования вручную при проверке нашей платформы для уязвимостей. Часто они разделяют свой процесс, когда они обнаруживают ошибки, и мы смогли превратить тех в тесты инспектора призрака. Мы смогли создать набор испытаний на основе различных знаний различных компаний, с которыми мы работали. Теперь у нас есть небольшая команда исследователей виртуальной безопасности на нашей стороне!

Buildkite.

Buildkite Является ли клей, который объединяет всю нашу автоматизацию. Пока рекламируемая как непрерывная интеграция (CI) платформа на самом деле является общим видом системы автоматизации задач и полезна для какого-либо запланированного или запускаемой задачи.

Buildkite управляет всеми нашими строфами Ci, но также обрабатывает развертывание, освежает нашу предварительную среду и другие задачи.

В своих трубопроводах он будет развернуть программное обеспечение, а затем использовать инспектор Ghost и проверить результаты развертывания.

Прежде чем мы перешли на Buctkite, мы использовали [Дженкинс. Это почтенный инструмент Но было два основных вопроса для нас, пытаясь запустить собственную службу CI.

Во-первых, правда заключается в том, что действующие Дженкинс эффективно сложно. Он опирается на доступ к файловой системе, чтобы получить контрольные элементы управления, необходимые для запуска плагинов, которые необходимо обновлять и поддерживать, функциональность трубопроводов является поздним дополнением к системе, а не в основном элементе.

Во-вторых, после присутствия на несколько конференций SECOPS было ясно, что Дженкинс был одним из главных целей, которые они ищут при поиске BUSC Bounties (номер один неусчитан WordPress).

Это означает, что у нас была полнопрофильная цель, которую у нас не было уверенности в нашей способности безопасности. Не используя Дженкинс, ряд дисков хакеров просто пройдет вас и переехал на другие организации. Нам нужно было внести изменения.

Одним из ключевых различий между системами Budekite и Ci, такими как Circleci, заключается в том, что вы приносите свои собственные агенты для Buildkite. Мы можем запустить работу в наших собственных учетных записях AWS и назначить нашу собственную политику безопасности агентам. Это означает, что мы можем выбрать полностью изолировать один кластер агентов, не влияя на более привилегированные разрешения кластеров, которые делают развертывание в ECS, которые нуждаются в большом количестве разрешений.

Мы также используем CIRCLECI, если то, что мы хотим, является чистой автоматизацией CI или облегченной автоматизации, а содержимое репо, низкий риск.

Сентиментальный

Sentry в первую очередь является исключением отчетности и службой агрегации. Однако потому что он также записывает, кто в вашей команде посмотрел на исключение, это означает, что его можно использовать для подтверждения того, что вы делаете периодические обзоры ошибок, которые происходят в вашей системе.

Вы, вероятно, должны использовать службу агрегации ошибок в любом случае Но стоит посмотреть на то, как вы можете использовать их, чтобы также предоставить способ доставки целей безопасности, например, явно игнорируя общие, но неактуальные ошибки и ищут неожиданные проблемы.

Оригинал: «https://dev.to/wegotpop/pop-s-cloud-based-security-services-43ej»