微信号:CloudNote

介绍:关注云平台的网络技术、存储技术,以及少量架构技术.

让云安全更加自动化 InSpec 2.0的这些功能不可小觑

2018-03-14 21:23 Helen Beal

作者|Helen Beal
译者|张卫滨

持续自动化厂商 Chef 发布了 InSpec 2.0,这是 Chef 新版本的开源工具,该工具能够让 DevOps 与跨功能的应用、基础设施和安全团队以代码和资产的形式表述安全和合规规则,并且在整个软件交付生命周期中纠正合规的问题。

InSpec 2.0 提供了对 Amazon Web Services(AWS)和 Microsoft Azure 的云配置支持,该特性能够让用户根据自定义的合规策略,使用 API 来编写针对云资源的合规规则。新版本的工具包含了对三十多种新资源的支持,允许用户为通用的应用和配置文件编写合规规则,无需任何的编程知识。它们包括 Docker、安全 key(RSA/DSA/x509)、Web 服务器(IIS/nginx/Apache)配置、包(既包括系统包也包括 Perl/R/etc 等)、PostgreSQL 与 MySQL 数据库配置、XML 配置文件中的 XPath 匹配以及 ZFS 存储池配置。

现在,InSpec 的结果可以导出为 JUnit 格式,以便于集成到像 Jenkins 这样的持续交付工具中,合规 profile 可以从 Chef Automate 中拉取。之前宣布的与 Amazon Systems Manager (SSM) 的集成能够让 InSpec 进一步增强云环境的支持能力。在最新版本中,也有多项性能方面的提升:在 Windows 下,InSpec 2.0 比 InSpec 1.0 快 90%,在 Linux 下能够快 30%。

InSpec 是使用 Ruby 编程语言构建的,可以运行在 Windows 和很多 Linux 分发版本中,也能运行在 Docker 容器上。InSpec 试图将它的 test 变成人类可阅读的,对于使用过 RSpec 和 ServerSpec 这些测试工具的人来说,对 InSpec 应该会感到很熟悉。

InSpec 通过两阶段的处理实现合规和安全性的目标:探测(detect)和纠正(correct)。在第一个阶段,即探测中,它会尝试掌握系统在什么地方可能会违规或者有潜在的安全漏洞。在第二个阶段,即纠正中,它会修复在探测阶段所识别出来的合规失败的问题。InSpec 将这些步骤实现了自动化。

InSpec test 被称为 control,多个 control 可以分组到 profile 中。一般来讲,InSpec 是通过 CLI 来运行的,并且在目标或要监控的目标系统上远程运行。在扫描 Linux 系统时,InSpec 会使用 SSH 协议,在扫描 Windows 系统时,会使用 WinRM 协议。InSpec 不需要在目标系统上安装软件。InSpec profile 可以通过 Chef Supermarket 或 InSpec CLI 来查看。

niu Solutions 的 CTOJon Williams 这样说到:

InSpec 帮助我们统一了合规、安全和 DevOps 团队,改进了审计,减少了员工的工作时间,并且在整个过程中消除了重复的工作和数据。它让这些团队能够更好地控制合规策略,让业务单元更加积极地维护自己的环境。最为关键的是,它允许我们持续地监控合规的审计情况,维持想要的状态并消除节点之间的变更漂移。

InSpec 是通过收购 VulcanoSec 创建的,这是一家德国的合规与安全公司,Chef 在 2015 年收购了它。InSpec 2.0 是开源的,可以通过 Github 下载。

给你一个爱学习的理由

现在注册极客时间App,立享30元新人红包,付费内容券后价低至19元起!

细说云计算  

「细说云计算」是 InfoQ 旗下关注云计算技术的垂直社群,投稿请发邮件到 editors@cn.infoq.com,注明“细说云计算投稿”即可。  

 
细说云计算 更多文章 Kubernetes漫谈 微软通过Cosmos DB向MongoDB和Cassandra发起挑战 Java EE未来路在何方? 配置管理SaaS平台Config开始内部Beta测试啦 如何准备好一场演讲?
猜您喜欢 过年回家,穷人和富人的区别,你中枪没? Android共享元素场景切换动画的实现 新鲜出炉的VSAN中文手册(含规划设计、管理指南、故障排除) 程序员看法上的几个典型错误 2016年容器技术思考: Docker, Kubernetes, Mesos将走向何方?