《1、DOD大会 - 进一步左移 - 架构安全与DevSecOps_汇丰科技中国(周一帆).pdf》由会员分享,可在线阅读,更多相关《1、DOD大会 - 进一步左移 - 架构安全与DevSecOps_汇丰科技中国(周一帆).pdf(37页珍藏版)》请在三个皮匠报告上搜索。
1、进一步左移架构安全与DevSecOps汇丰科技中国 周一帆2023 China DevOpsDays-8月12日 北京-3在新加坡及中国拥有多年的金融科技与信息安全行业工作经验。曾就职于汇丰环球银行与资本市场科技部,负责交易系统监控及DevOps开发运维一体化工具的管理。曾参与国内外多项重大信息安全与金融科技项目的实施与部署工作。熟悉DevOps,DevSecOps方法和工具。目前主要从事应用系统架构安全顾问,风险评估,威胁建模等工作。同时开展在汇丰集团内部的DevSecOps实施工作,协助各业务团队进行DevSecOps技术转型。国内第一本DevSecOps书籍DevSecOps实战作者之一
2、。周一帆汇丰科技中国信息安全部高级信息安全分析师1-DevSecOps的实践2-金融科技领域中的合规风险3-OWASP Top10与架构安全左移4-安全风险评估体系的建立5-案例分析目录331 DevSecOps的实践3为什么需要DevSecOps?lDevOps 让开发团队的产品交付更快,协作更好。传统信息安全交付模式和现代的快速持续交付理念形成冲突,从而使信息安全成为快速交付的瓶颈。l如果没有考虑到信息安全的DevOps,反而让产品更容易存在信息安全漏洞的风险。l速度和安全本身就是天生一对相辅相成的概念,DevSecOps的出现与实践,正是去帮助处于不同行业的实践者们去寻求速度和安全之间的
3、平衡点。3DevSecOps的最佳实践运营模型实现模型成熟度模型三个角色的协作开发团队信息安全团队DevSecOps实施负责人三个阶段三步走引入DevSecOps工具DevOps与信息安全知识、能力的培训意识文化和流程的建立多维度的评估工具的集成与使用情况团队组织架构情况DevSecOps实施负责人知识储备与问题解决能力三个角色的协作能力等DevSecOps的最终目标是引入一套框架,解决持续快速交付和信息安全之间的矛盾一个框架,三个模型,三个角色,三个阶段的结合,可视为实施DevSecOps的最佳实践之一。3DevSecOps工具安全工具链32 金融科技领域中的合规风险3近十年国内外发布的部分
4、与信息安全相关的法律、法规l新加坡于2012年通过的个人数据保护法l2016年11月7日,第十二届全国人民代表大会常务委员会第二十四次会议通过中华人民共和国网络安全法l2018年5月25日,欧洲联盟出台通用数据保护条例(GDPR)l2019年10月26日,第十三届全国人民代表大会常务委员会第十四次会议通过 中华人民共和国密码法l2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过中华人民共和国数据安全法l2021年8月20日,十三届全国人大常委会第三十次会议表决通过中华人民共和国个人信息保护法l2022年7月,国家网信办出台数据出境安全评估办法3近十年国内外发布的部分与信
5、息安全相关的法律、法规监管体系越来越健全 当前全球现行法律法规及行业标准中,与网络和信息安全有关的已有上百部。涉及网络运营安全、信息系统安全、数据安全、网络安全产品、保密及密码管理等多领域。涵盖从通信、金融等传统行业到各新兴互联网行业。监管形式多元化 有法律、有司法解释及相关文件、行政法规、法规性文件、部门规章、行业标准文件等。不同领域的监管机构错综复杂。存在不同国家与地区间监管差异 不同国家及区域,各类法规又有不同。知识产权壁垒。重要信息、数据在不同国家及地区中的流动往往受到强监管。因此,对于一家企业来说因此,对于一家企业来说,其产品其产品或业务的合规性直接影响着它面向或业务的合规性直接影响
6、着它面向未来市场的生命力与可持续发展性未来市场的生命力与可持续发展性。3近十年国内外发布的部分与信息安全相关的法律、法规但是,与合规风险相关的设计与管控措施,往往却在项目实施的早期阶段最容易被企业所忽视。因此,我们需要在这一阶段,就将与合规相关的管控措施引入,让安全部门在早期介入,与项目团队一起,共同实现架构安全审查的左移。33 OWASP Top 10与架构安全左移3OWASP Top10与架构安全左移OWASP(开放式Web应用程序安全项目)是一个开源的、非营利性的全球性安全组织,致力于改进Web应用程序的安全,这个组织最出名是,它总结了10种最严重的Web应用程序安全风险,警告全球所有的
7、网站拥有者,应该警惕这些最常见、最危险的漏洞。与OWASP2017相比,在OWASP2021中新增了A04-不安全的设计这一安全风险项3OWASP Top10与架构安全左移A04:2021-不安全设计 这是 2021 年版本的新类別,并特別聚焦在设计相关的缺陷。如果我们真的希望让整个产业向左移动,那我们必须进一步的往威胁建模,安全设计模块的观念,和安全參考架构前进。摘自OWASP2021官方概述3OWASP Top10与架构安全左移3不安全的设计举例API鉴权缺失三方机构对近两年的数据泄露风险分析表明,API安全已是数据泄露头号风险,92%的数据泄露已来自业务API的爬取。2021年6月,根据
8、裁判文书网公开的判决案例显示,犯罪嫌疑人逯某通过某宝业务接口开发的爬虫软件获取了用户id,昵称,电话号码等信息11亿条。2021年4月Facebook5亿用户数据泄漏,根据暗网上公布的数据截图,涉及到用户的昵称,邮箱,电话,家庭住址的信息判断,为业务接口泄漏。2020年国内某社交平台的3.5亿数据的泄露,就是来自于终端APP的业务逻辑API被非法流量调用超过40亿次而导致。2020年印尼最大的电商网站Tokopedia9100万用户信息泄漏,里面涉及到了用户曾经浏览到商品信息和订单信息,也为业务接口泄漏。34 安全风险评估体系的建立3从合规风险和不安全的设计两个层面我们可以做出以下判断l 许多
9、的安全漏洞并非直接产生于开发编码阶段,在产品方案与架构设计之初,或许一些潜在的安全风险就已经存在,但并未被发现引起重视。l 任何风险与漏洞越早被发现,其修复成本也越低,对产品的整体影响较小。l 我们需要在DevSecOps的实施过程中去引入一整套的安全风险评估体系,让安全工作的开展进行更彻底的左移,在项目设计阶段就让安全审查介入。l 对于需要进行严格安全审查的项目,在产品设计阶段就让架构师、项目团队与安全团队进行协作,开展动态的威胁建模工作。3基于合规的安全风险评估体系与DevSecOpsl 一是安全流程的简化,将安全设计审查工作化繁为简,明确分类,减少不必要的浪费。l 二是安全流程的左移,将
10、原有流程中由安全人员承担的工作在项目更早期交由架构师、项目团队进行。3风险评估体系归纳举例3安全流程简化确定审查方式1 定义项目分类安全风险评估的左移,不应该单单只是将其传统的工作内容左移,而是需要建立一套适应DevSecOps持续快速安全交付目标的体系。建立体系的第一步,就是要定义各种项目的分类,以确定安全审查的方式。l 对于涉及全新产品项目、重大安全控制功能改动等的项目,必须要进行完整的风险评估。l 对于轻量化的项目变更,则可以考虑采用检查清单的形式进行快速检查。l 对于明显不涉及任何功能及数据变动的项目,甚至可以考虑免于一定程度上的安全审查。以此类推。3安全流程简化确定审查方式1-1 定
11、义项目分类举例3安全流程简化确定审查方式2 结合安全等级与项目分类结合安全等级与项目分类的审查方式对应表案例 3安全流程简化快速检查表检查项分类当在上一步确定审查方式为快速检查时,可采用快速检查表,以问卷的形式要求项目团队根据表中涉及到的控制项问题进行作答。若当前控制情况回答“是”,可视为符合规范,当回答为“否”时,可视为不符合规范,当控制项问题不适用该项目时,可回答“不适用”,并进行说明。身份认证与密钥管理 访问授权 会话管理加密与数据保护输入输出控制异常处理日志与审计变更管理系统配置快速检查表可包含的检查类别举例3安全流程简化快速检查表问题清单快速检查表中身份认证与密钥管理相关的问题清单举
12、例 评估类别问题清单当前控制情况(是/否/不适用)补充信息身份认证与密钥管理项目系统是否考虑了符合企业信息安全规范的身份认证方式?项目系统是否考虑了符合企业信息安全规范的加密码或认证方式?项目系统是否考虑了符合企业信息安全规范的密码管理方式?例如,密码的存储、变更等项目系统是否强制使用符合企业及监管机构规范的密码策略?例如,密码长度、复杂度等项目系统是否考虑了各种潜在的针对身份认证及密码密钥的攻击方式及对应策略?例如,人机识别、多次输错禁止等策略项目系统是否考虑了用户身份信息的年度审计要求?年度审核该身份账号拥有者是否依旧恰当维持?项目系统是否考虑了系统及应用间的身份访问验证方法?如采用证书等
13、数字认证方式,项目系统是否考虑了证书签发机构的权威及合法性?如采用证书等数字认证方式,项目系统是否考虑了证书的生命周期管理?项目系统是否采用了符合企业或监管机构规范的身份管理方式?例如,账号创建、修改等操作的管理规范3安全流程简化快速检查表问题清单l 针对云相关的项目,可设置专门的云项目检查清单。l 针对涉及合规性要求的项目,可设置专门的合规项目检查清单。快速检查表的使用,是针对轻量化的项目变更进行的快速检查。缩减繁琐流程,兼顾安全审查。是为了实现DevSecOps持续快速安全交付目标的体现。同时帮助实现高效率的安全审查左移。3完整风险评估威胁建模对于涉及全新产品项目、重大安全控制功能改动等的
14、项目,必须采用威胁建模的方法进行风险评估。3完整风险评估威胁建模威胁建模(Threat Modeling),是一个不断循环的动态模型,主要运用在安全需求和安全设计上。同时威胁建模是一项工程技术,可以使用它来帮助确定会对企业的应用程序造成影响的威胁、攻击、漏洞和对策。企业可以使用威胁建模来形成应用程序的设计、实现企业的安全目标以及降低风险。在我们当前行内的实践中,步骤1和2交由架构师与项目团队来完成,让安全工作在项目中尽早开展,与设计工作同步进行,安全人员仅供指导意见,从而实现安全流程的左移。35 案例分析3实践举例IriusRisk是目前我们在行内所使用的一套威胁识别与风险管理平台,旨在协助开
15、发人员和安全专业人员在整个DevSecOps过程中去识别、评估和管理项目的安全风险。它使用业界标准的风险评估方法来确定应用程序的风险等级,并提供了一些内置的修复建议,以帮助组织更好地理解其安全风险并制定相应的风险缓解计划。同时它也提供API接口和与其他开发和安全工具的集成,例如Jira、Git、Jenkins等,以便自动化安全测试和风险缓解流程。3实践举例如前文所述,步骤1和2由架构师及项目团队开展,即IriusRisk中进行架构设计图的创建、资产识别、技术参数的维护等。3实践举例在随后的工作中,IriusRisk会基于由安全团队所维护的基于行内及业界特性、及STRIDE模型的威胁风险库,去识
16、别项目设计中所涉及的一些潜在风险。再结合安全审查人员的研判,对项目提出一系列的安全措施检查。3实践举例安全审查人员对项目团队所提供的反馈,及IriusRisk平台所产生的自动化建议,进行二次研判,确认是否仍有风险存在,提出改进建议,以及针对某些可接受风险采取相应的跟踪措施。IriusRisk再根据安全人员的研判结果,去计算出相应的风险值及对应评分。3实践举例安全设计的风险评估是一个持续的动态的过程,项目团队需要再IriusRisk平台上及时维护应用系统的最新状态,并由安全团队持续跟进评估。所有已知风险的状态也需要通过平台进行持续的跟踪、监测、状态更新等。3最后的话让我们以OWASP Top10 2021中官方的这句话来结束我们今天的主题:如果我们真的希望让整个产业“向左移动”,那我们必须进一步的往威胁建模,安全设计模块的观念,和安全參考架构前进。3Thanks感 谢 聆 听2023 China DevOpsDays-8月12日 北京-更多疑问可联系我:frankzhouChinaDevSecO