2022年5月12日,世界领先的开源解决方案供应商红帽公司日前宣布,其开放混合云技术系列新增安全创新特性与功能。在由云服务、传统系统和边缘设备组成的日益复杂的IT环境中,这些增强功能将帮助企业降低风险,并满足合规要求,从而最大程度降低复杂性,同时帮助客户改善安全状况,并实现DevSecOps。
据红帽的《2021年全球技术展望》报告指出,45%的受访者将IT安全作为支出的首要领域。然而,IT安全并不是一种静态需求,监管控制、合规要求和威胁起源几乎每天都在发生变化,要求IT安全团队持续保持警惕。红帽长期以来一直是企业级开源解决方案安全方面的领导者,从红帽企业Linux开始,公司就将安全视为一个基本组件,而非附加功能。KuppingerCole分析师最近在其容器安全领导指南中认定红帽为整体领导者,其评价为:“红帽有庞大的市场占有率,在容器管理方面拥有久经证实的专业知识,再加上最近对领先的容器安全公司StackRox的收购和整合,从而被公认为是该领域的领导者。”
红帽将继续创新,涵盖从本地到多云,再到边缘的混合云环境的整个技术生命周期和软件堆栈,以提高安全性。加强软件供应链安全在从开发开始的整个生命周期中,保护应用的安全可能是一个复杂的过程,经常需要多个组件的配合。为了帮助简化在整个构建、部署和运行过程中实施安全特性的过程,红帽引入了一种软件供应链安全模式。
这种模式通过红帽OpenShift交付,以代码的形式提供了完整的堆栈,并定义、构建和测试软件配置。作为预览版,软件供应链安全模式将整合必要的组件,以采用受信任的组件构建云原生应用。
该模式通过红帽OpenShift管道和红帽OpenShift GitOps使用Kubernetes原生、持续集成的管道进行版本控制,这有助于降低复杂性并节省时间。此外,通过Tekton Chains,该模式将融合Sigstore – 这是一个开源项目,可以使代码的加密签名更易于访问。该项目的加入使工件在管道中的签名更加容易,而无需等到应用创建之后。
此外,在红帽Ansible 自动化平台 2.2中,红帽引入了Ansible内容签名技术的技术预览。这项新功能支持自动化团队验证企业中正在执行的自动化内容是否得到验证并且可信任,从而帮助实现软件供应链安全。
从数据中心到边缘增强应用安全生命周期
随着企业采用云原生架构,企业对于更强健的环境、更小的攻击面,以及更快检测和响应威胁等核心需求依然存在。在传统IT环境外部运行的应用(包括边缘)引入了进一步的安全需求,进一步加剧了这些本已很复杂的挑战。
除了边缘设备的物理安全要求外,CIO和IT决策者越来越需要保护这些设备上运行的容器工作负载。例如,他们需要实施不同的战略和功能,以防止边缘部署环境中的潜在攻击或漏洞。红帽Kubernetes高级集群安全为这些问题提供了可随时部署的解决方案,其关键功能可保护边缘工作负载,包括:
自动化CI/CD管道中的DevSecOps通过漏洞管理、应用配置分析和CI/CD集成,有助于保护边缘环境的软件供应链。
威胁防护在运行时提供常见威胁的检测和事件响应能力
网络分段可进行工作负载隔离,分析容器通信和检测危险的网络通信路径
集成的安全性始于操作系统据Gartner®在2022年进行的董事会调研表明,88%的董事会成员将网络安全列为商业风险;仅12%的受访者认为这是技术风险。[1]网络攻击或数据泄露的广泛后果已导致投资者和监管机构加大对整个IT环境的审查力度。为防止这些潜在的破坏性事件,强化IT环境至关重要,因此,红帽认为,这项工作必须从基础开始,从操作系统层面开始,从红帽企业Linux开始。
红帽企业Linux 9通过在RPM包中提供文件数字签名,为操作系统和应用程序文件的运行时完整性验证奠定了基础。该平台在内核级别使用完整性度量体系结构(IMA)来验证单个文件及其来源。IMA文件验证特别有助于检测对系统的意外和恶意修改,为安全团队提供更多的补救能力,以解决潜在的问题或破坏。
红帽企业Linux 9中的其他安全特性包括:默认通过SSH禁用root登录,增强了围绕root权限的安全性。这有助于防止通过蛮力攻击找到root密码,提高运行环境的基线安全性;支持与OpenSSL 3集成的最新加密框架。这使得IT团队能够制定新的密码来加密和保护敏感信息;通过禁用默认数字签名的SHA-1散列功能,增强了安全最佳实践,提高了安全性。
此外,红帽和IBM Research正在围绕扩展Linux内核的核心安全方面展开合作,例如通过支持签名和验证椭圆曲线数字签名,以此扩展了所支持的算法,并缩减了整个Linux内核中使用的数字签名的大小。