Venafi发布了一项报告关于金融机构实践DevOps加密安全问题。在DevOps环境中,研发和测试协作产生的相关问题,会扩散到生产系统和应用程序中,因此放大了安全问题。对于早期实践DevOps的金融机构的来说,是特有的问题。
研究指出,许多金融机构的系统都有相当强大的密码安全策略,然而,在DevOps模式中,如此重要的措施却无法执行。此外,金融机构一旦使用DevOps,涉及到应用和更新方面的运行会使得漏洞更易出现,而这些漏洞原本是可以预防的。
“在当今高度竞争的市场,金融机构使用DevOps模式提供了新功能且改善了用户体验。”Venafi首席安全策略师Kevin Bocek说,“然而,DevOps在安全、数据隐私和遵从性方面缺乏竞争优势。很明显,从手机银行到高速交易等方方面面,许多金融机构仍在执着于保护机器ID。尽管DevOps团队表明他们已经意识到TLS/SSL密钥和证书用普通方法建立ID会产生风险,但这种认识并没有被转换成实际意义上的保护。”
Venafi的情报分析师Tim Bedard说“正如我们所看到的快速攻击(SWIFT attacks),金融机构对网络罪犯而言是一个很有吸引力的目标,如果DevOps团队提供给金融机构的密钥和证书都没有得到充足的保护,那么网络罪犯就能够利用SSL/TLS加密密钥和证书创建自己的加密通道。或者攻击者可以盗用SSH密钥内的网络,来提升自己的访问权限,在不被发现的情况下, 安装恶意软件或将企业的敏感数据大量泄漏。”
原文链接:https://appdevelopermagazine.com/5255/2017/6/6/Many-fintech-DevOps-are-not-enforcing-security?utm_source=tuicool&utm_medium=referral
原文作者:Christian Hargrave、Assignment Editor
相关阅读:
高端私有云项目交流群,欢迎加入!
加入中国最活跃的kubernetes技术讨论QQ群,加群主QQ:502207183,并注明城市、行业、技术方向。