金融机构如何规避 DevOps 安全风险?权威报告给了几组数据

2017-06-12 18:51:25 +08:00
 dataman

数人云之前给大家分享了 DevOps 基础设施的建设《乐高的关键在于底盘,DevOps 成功的关键在于基础设施》以及 DevOps 的指标问题《当心 DevOps 虚假指标》,今天再来跟大家聊聊安全性的问题。

以下是 Venafi 发布的一组分析报告,DevOps 的优势很明显,同时安全问题也不容忽视,如果进一步优化,那么对于 DevOps 模式来说更是如虎添翼,也会更快速的推进 DevOps 实践落地。

Venafi 发布了一项报告关于金融机构实践 DevOps 加密安全问题。在 DevOps 环境中,研发和测试协作产生的相关问题,会扩散到生产系统和应用程序中,因此放大了安全问题。对于早期实践 DevOps 的金融机构的来说,是特有的问题。

研究指出,许多金融机构的系统都有相当强大的密码安全策略,然而,在 DevOps 模式中,如此重要的措施却无法执行。此外,金融机构一旦使用 DevOps,涉及到应用和更新方面的运行会使得漏洞更易出现,而这些漏洞原本是可以预防的。

“在当今高度竞争的市场,金融机构使用 DevOps 模式提供了新功能且改善了用户体验。” Venafi 首席安全策略师 Kevin Bocek 说,“然而,DevOps 在安全、数据隐私和遵从性方面缺乏竞争优势。很明显,从手机银行到高速交易等方方面面,许多金融机构仍在执着于保护机器 ID。尽管 DevOps 团队表明他们已经意识到 TLS/SSL 密钥和证书用普通方法建立 ID 会产生风险,但这种认识并没有被转换成实际意义上的保护。”

调研数据

Venafi 的情报分析师 Tim Bedard 说“正如我们所看到的快速攻击( SWIFT attacks ),金融机构对网络罪犯而言是一个很有吸引力的目标,如果 DevOps 团队提供给金融机构的密钥和证书都没有得到充足的保护,那么网络罪犯就能够利用 SSL/TLS 加密密钥和证书创建自己的加密通道。或者攻击者可以盗用 SSH 密钥内的网络,来提升自己的访问权限,在不被发现的情况下, 安装恶意软件或将企业的敏感数据大量泄漏。”

原文链接: https://appdevelopermagazine.com/5255/2017/6/6/Many-fintech-DevOps-are-not-enforcing-security?utm_source=tuicool&utm_medium=referral

原文作者:Christian Hargrave、Assignment Editor

1482 次点击
所在节点    推广
0 条回复

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/367900

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX