【RSA2019创新沙盒 】DisruptOps：面向敏捷开发的多云管理平台

每届RSA会议的创新沙箱链接引起了公众的关注。创新沙盒的初衷是为 *** 安全领域的初创企业提供一个展示其创新技术或愿景的平台，以及可能给信息安全行业带来的变化和发展。

2019年，入围RSA会议创新沙盒“十强”企业将在3月4日的会议上展示约3分钟，并回答委员会的问题。评委包括行业投资专家、 *** 安全专家和 *** 安全公司CEO、企业CISO、行业顾问等。为了帮助大家了解这十家企业，绿盟科技推出了一系列文章今天我们来介绍一下DisruptOps公司。

公司介绍

DisruptOps Inc.公司成立于2014年，位于密苏里州堪萨斯城，致力于为多云基础设施提供自动化保护，提高云运行安全性，实现云基础设施的持续检测和控制。2018年10月，该公司获胜Rally Ventures种子轮融资领投250万美元。

背景介绍

近年来，公共云在国外发展迅速，大量中小企业开始积极拥抱云计算。然而，公共云服务提供商的技术能力和安全水平一直是客户对云的极大担忧。在这种情况下，多云(Multi-Cloud)结构为云计算IT在多云架构下，用户使用多个公共云提供商和内部私有云资源来实现业务目标。可有效提高公共云基础设施的可用性，减少制造商的锁定(Vendor Lock-in)的风险。

然而，管理多个云环境的运营团队面临着大规模、复杂的云环境，这将很快导致运营成本上升；此外，越来越多的开发团队青睐敏捷开发，越来越多的系统将在云中开发和运行，DevOps它将成为云应用的新常态，因此不同环境中的不一致配置将导致安全风险的显著增加。常见错误包括非授权访问存储系统数据、安全组配置错误导致的内部 *** 以及资源过度分配造成的资金浪费。例如，2017年曝光的美国陆军和NSA情报平台将绝密文件放在公开访问中Amazon S3在存储桶中，这种配置错误S3存储桶，只要输入正确的URL，任何人都能看到AWS子域名“inscom”存储在上面的内容。有47份文件和目录，其中3份甚至可以随意下载。

如果这些挑战是手动操作的，效率低下，无效。DisruptOps通过实施可定制的优秀实践库，确保一致性和安全性DevOps团队可以快速无风险地迁移，从而实现云管理的自动化。

产品介绍

公司推出的基础SaaS云管理平台实现云基础设施的自动控制。通过对安全、运营和经济护栏的持续评价和实施，企业可以安全享受云计算提供的灵活性、速度和创新，同时保持运营控制。

安全防护栏(Security Guardrail)

DevOps该模式促使开发团队和运营团队更快地行动、部署和适应。因此，安全问题不能妨碍或减缓整个问题DevOps进程。安全防护栏会自动执行安全优秀实践，不仅可以发现错误配置，而且通常可以在发现问题之前修复它们。这样使得DevOps团队可以在没有风险的情况下快速实施。

具体包括：

(1)身份管理。确保身份策略在整个云中保持一致，从而消除过多的权限问题。

例如，在S3、EC2在服务中，实现需求API控制台用户命令访问权限MFA管理；删除未使用的IAM用户和角色；删除过多的特权；删除未使用的默认VPCs等。

(2)监控。确保日志记录和报警在多个账户中一致设置，确保所有云活动完全可见。

例如，提供优秀的安全实践配置；设置AWS Log Rotation和Archiving;实施集中配置监控；实施集中报警；创建安全组变更报警等。

(3) *** 安全。管理适当的 *** 访问策略，确保安全组的正确配置最小化攻击面。

例如，锁定默认的安全组;锁定安全组到当前配置;评估或限制VPC peering;寻找权限过大的安全组；启用VPS流量日志等。

(4)存储安全。确保存储的关键数据通过基于策略的标记、访问和加密规则的关键数据。

例如，限制S3 Bucket到已知的IP地址；识别没有合适标签的地址；S3 Buckets;识别公共S3 Buckets;使用KMS Keys加密S3 Buckets等。

运营防护栏(Operations Guardrail)

成熟的云组织在所有云环境中实施共享服务，包括监控/日志记录IAM备份等。操作护栏可以在没有脚本或任何其他本地解决方案的情况下实现这些共享服务的优秀操作实践。

例如，虽然AWS允许用户在控制台中更改资源的类型和大小，但这些不是通过编程提供的Trinity API资源可以直接调整。

另一个例子是，通过标记，用户可以根据计划自动 *** 和备份快照，并将旧快照迁移到Glacier，节约成本。

经济防护栏(Economic Guardrail)

通常，开发团队会将更多的精力致力于如何更好的构建并快速的部署相关的应用。然而，却很少会有明确的意识，在资源不使用时主动的去关闭它们，这样就会造成云成本的失控。经济防护栏使用预先构建的策略，自动化的关闭不需要的云资源，在不影响开发人员效率或需要本地脚本的情况下节省用户的资金。

例如，开发实例和其他不必要的实例可以通过标签设置关闭，以节省成本；自动缩放配置可以调整，以降低非工作时间的成本；根据实例的具体资源利用率，调整实例的大小，降低成本；分析S3的存储Buckets并将其优化到正确的存储层，以降低成本。

产品特征

不管云的大小如何，DisruptOps云管理平台可以及时发现和修复安全、运营和成本管理问题。综上所述，它包括以下特点。

(1) 持续评估。

开发人员不断迭代和更改业务系统，运营团队不断更新相关系统。每次更改都有违反公司安全策略和偏离优秀实践的风险。因此，有必要继续监控和评估环境，然后发现违规行为，然后采取各种行动。

DisruptOps维护所有云平台的多账户资源，可以标记和分配这些资源，并支持基于标记的单独策略。例如，用户可以根据开发和生产环境实现不同的安全策略。DisruptOps允许开发人员快速迁移，运维团队快速实施优秀实践。

(2) 自动执行

DisruptOps识别问题后，可自动提供多种补救方案。通过自动化的实施变化，将环境恢复到优秀的实际配置。DisruptOps通过生产测试和自动化维护，与运维团队为实施策略而构建的许多脚本不同。

(3) 护栏而不是拦截

实现云安全的一个重要目的是保护公司数据，实施安全策略和更佳实践，但不要放慢速度DevOps过程。护栏不会阻止活动，而是按预期执行安全策略，用户可以为不适用的资源设置白名单和黑名单。

例如，如果管理员访问权限为安全组打开，管理员访问安全组的范围将不会被阻止。DisruptOps战略被设定为只允许授权公司IP连接范围。同样，如果管理员账户需要MFA(AWS Multi-Factor Authentication，多因子认证)并且账户已经关闭，而不是阻止所有访问(并使管理员脱机)DisruptOps战略将被重置为需要MFA。

(4) DevSecOps的优秀实践方式

当前，在DevOps过程中添加“Sec”构建、测试和维护脚本需要大量的手动工作。DisruptOps Guardrails，无需编程，配置一键处理，实施和管理直观的用户体验Ops。DisruptOps提供报告并支持基于角色的访问控制，以确保只有授权方才能更改其管理的云。

(5) 支持云计算优秀实践

DisruptOps它可以帮助用户实施多账户管理策略Guardrails来遵循来自CIS云安全标准和基准等组织。DisruptOps许多策略来源于创始人的实际设计和架构，他们有多年的经验来帮助客户实施云安全建设和运营。

(6) 低权限原则

在DisruptOps在中国，最小特权的安全标准是目的。始终只为相应的操作分配所需的最小权限，然后在更改后删除这些权限。通过积极和持续的管理权限，确保云安全和操作的关键方面不会产生额外的攻击。

(7) 云起源

DisruptOps构建在云中，用于云，用于云优秀实践包括多个账户组织、无处不在的加密、平台即服务产品，并广泛使用API、容器、微服务和功能是服务。该 *** 不仅可以将应用程序的攻击面降低到更大程度，还可以立即与云环境集成。DisruptOps近十年来，创始人一直倡导云原生架构的理念。

(8) SaaS交付

DisruptOps以SaaS服务交付，味着在用户环境中不需要安装任何软件。一键配置流程和内置Ops图书馆确保用户不再需要投资资源来实施、构建、更新、修复或重新调整护栏的大小。因此，用户可以专注于构建、运行云和DevOps的业务中。

总结

云计算的热点是多云和敏捷开发，DisruptOps以SaaS通过快速检测和自动修复用户的多个云资源，一方面节省了云客户的成本，另一方面实现了云基础设施的持续安全控制，在安全、运营和成本方面为用户带来了更大的效益。此外，借助自动化和服务安排技术，促进云本地应用和DevSecOps的落地。