每屆RSA大會的創新沙盒環節都可謂萬眾矚目。創新沙盒的初衷是為網絡安全領域的初創企業提供平臺，讓他們展示自己的創新技術或愿景，以及他們可能為信息安全行業帶來的變革與發展。

2019年，入圍RSA大會創新沙盒“十強”的企業將在3月4日的大會現場各自進行3分鐘左右的展示并回答委員會的問題。評委包括行業投資專家、網絡安全專家、網絡安全公司的CEO、企業CISO、行業顧問等。為了幫助大家了解這十家企業，綠盟科技推出了系列文章，今天為大介紹的的是DisruptOps公司。

公司介紹

DisruptOps Inc.成立于2014年，位于密蘇里州堪薩斯城，該公司致力于通過為多云基礎設施提供自動化的防護來提升云操作的安全性，實現對云基礎設施的持續檢測和控制。2018年10月，公司獲得了由Rally Ventures領投的250萬美元的種子輪融資。

背景介紹

近年來，公有云在國外得到快速發展，大量中小公司開始積極擁抱云計算。然而，公有云服務商的技術能力、安全水平始終成為客戶上云非常大的顧慮。在這樣的背景下，多云(Multi-Cloud)架構成為云計算IT架構的下一個飛躍，在多云架構下，用戶同時使用多個公有云提供商和內部私有云資源來實現業務目標。可有效提高公有云基礎設施可用性，且降低廠商鎖定(Vendor Lock-in)的風險。

然而，管理多個云環境的運營團隊面臨大規模和復雜的云環境，將很快導致運營成本不斷上升;此外，敏捷開發也為越來越多的開發團隊所親睞，云中開發、運營復用的系統將越來越多，DevOps將成為新的云應用常態，那么不同環境中的配置不一致會導致安全風險的顯著增加。常見錯誤包括存儲系統的數據被非授權訪問、錯誤配置的安全組導致的內部網絡可被外部訪問，以及過度分配的資源所導致的資金浪費。例如2017年曝光的美國陸軍及NSA情報平臺將絕密文件放在可公開訪問的Amazon S3存儲桶中，這個錯誤配置的S3存儲桶，只要輸入正確的URL，任何人都能看到AWS子域名“inscom”上存儲的內容。這包含有47個文件和目錄，其中3個甚至可以任意下載。

如果通過手動操作的方式來應對這些挑戰，效率低下且無效。DisruptOps通過實施可自定義的優秀實踐庫來確保一致性和安全性，從而使DevOps團隊能夠快速無風險地遷移，從而實現云管理的自動化。

產品介紹

該公司推出的基于SaaS的云管理平臺，實現對云基礎設施的自動控制。通過持續評估和執行安全、運營和經濟的防護欄，企業可以在保持運營控制的同時，可以安全的享受云計算提供的靈活性，速度和創新等好處。

安全防護欄(Security Guardrail)

DevOps的模式促使開發團隊和運營團隊能夠更快地行動、更快地部署和更快地適應。因此，安全問題不能妨礙或減慢整個DevOps進程。安全防護欄會自動執行安全優秀實踐，不僅可以發現錯誤配置，而且通常可以在發現問題之前修復它們。這樣使得DevOps團隊能夠在沒有風險的情況下快速執行。

具體包括：

(1)身份管理。確保身份策略在整個云中保持一致，從而消除過多的權限問題。

例如，在S3、EC2的服務中，實現對需要具有API和命令行訪問權限的控制臺用戶的MFA管理;刪除未使用的IAM用戶和角色;刪除過多的特權;刪除未使用的默認VPCs等。

(2)監控。確保在多個帳戶中一致的設置日志記錄和告警，確保所有云活動的完全可見。

例如，提供優秀安全實踐的配置;設置AWS Log Rotation和Archiving;實施集中式的配置監控;實施集中式的告警;創建安全組更改的告警等。

(3)網絡安全。管理適當的網絡訪問策略，確保正確配置安全組以最小化攻擊面。

例如，鎖定默認的安全組;鎖定安全組到當前配置;評估或限制VPC peering;尋找具有過多權限的安全組;啟用VPS流量日志等。

(4)存儲安全。確保通過自動執行基于策略的標記、訪問和加密規則來保護存儲的關鍵數據。

例如，限制S3 Bucket到已知的IP地址;識別沒有合適標簽的S3 Buckets;識別公共S3 Buckets;使用KMS Keys加密S3 Buckets等。

運營防護欄(Operations Guardrail)

成熟的云組織在其所有云環境中實施共享服務，包括監控/日志記錄、IAM和備份等。運營防護欄可以實現這些共享服務的優秀操作實踐，而不需要腳本或任何其它本地的解決方案。

例如，雖然AWS允許用戶在控制臺中更改資源的類型和大小，但這些都不是以編程的方式提供，使用Trinity API就可以直接的調整資源。

再比如，通過標記的方式，用戶可以按照計劃自動化的對實例進行快照制作備份，同時還可以將較舊的快照遷移到Glacier，以節省成本。

經濟防護欄(Economic Guardrail)

通常，開發團隊會將更多的精力致力于如何更好的構建并快速的部署相關的應用。然而，卻很少會有明確的意識，在資源不使用時主動的去關閉它們，這樣就會造成云成本的失控。經濟防護欄使用預先構建的策略，自動化的關閉不需要的云資源，在不影響開發人員效率或需要本地腳本的情況下節省用戶的資金。

例如，可以通過標簽設置，在工作時間之外關閉開發實例和其它一些不用的實例，以節約成本;可以調整自動縮放配置，以減少非工作時間的成本;根據實例的具體資源利用率，調整實例的大小，實現成本的降低;分析S3的存儲Buckets使用情況，并將其優化到正確的存儲層，以降低成本等。

產品特征

無論云的規模大小如何，DisruptOps云管理平臺都能及時發現并修復安全、運營和成本管理問題。總結起來包括以下幾點特征。

(1) 持續評估。

開發人員不斷地對業務系統進行迭代改變，運營團隊不斷地進行相關的更新。每做一次更改，都會有違反公司安全策略和偏離優秀實踐的風險。因此，需要持續監控和評估環境，進而發現違規行為，然后采取各種行動。

DisruptOps維護所有云平臺的多帳戶資源，可以為這些資源進行標記分配，并支持基于標記的單獨策略。例如，用戶可以針對開發和生產環境，實現不同的安全策略。DisruptOps允許開發人員快速進行遷移，而運維團隊可以快速的實施優秀實踐。

(2) 自動執行

DisruptOps在識別到問題之后，可以自動化的提供許多補救方案。通過自動化的執行更改，將環境恢復到優秀實踐配置。DisruptOps的防護檢測配置，與運維團隊為實施策略而構建的許多腳本不同，這是經過生產測試和自動化維護的。

(3) 護欄而不是攔截

實現云安全的一個重要的宗旨就是：需要保護公司數據，并執行安全策略和最佳實踐，但不要減慢DevOps進程。護欄不會阻擋活動，而是按預期執行安全策略，用戶可以為不適用的資源設置白名單和黑名單。

例如，如果為安全組打開了管理員訪問權限，那么就不會阻止管理員對這個安全組范圍的訪問。相反，DisruptOps將策略設置為只允許來自授權公司IP范圍的連接。同樣，如果管理員帳戶需要MFA(AWS Multi-Factor Authentication，多因子認證)并且該帳戶已關閉，而不是阻止所有訪問(并使管理員脫機)，則DisruptOps會將策略重置為需要MFA。

(4) DevSecOps的優秀實踐方式

當前，在DevOps過程中添加“Sec”需要大量手工工作來構建、測試和維護腳本。使用DisruptOps Guardrails，無需編程，通過一鍵式處理進行配置，并通過直觀的用戶體驗來實施和管理Ops。DisruptOps提供報告并支持基于角色的訪問控制，以確保只有授權方才能對其管理的云進行更改。

(5) 支持云計算的優秀實踐

DisruptOps可以幫助用戶實施多帳戶管理策略，并提供Guardrails來遵循來自CIS等組織的云安全準則和基準。此外，DisruptOps的許多策略源于創始人的實際設計和架構工作，他們擁有多年幫助客戶實施云安全建設和運營的經驗。

(6) 低權限原則

在DisruptOps中，最小特權的安全標準是宗旨。始終只為相應操作分配所需的最少權限，然后在進行更改后刪除這些權限。通過積極且持續地管理權限，確保不會因自動化而在云安全和操作的關鍵方面而產生額外的攻擊面。

(7) 云原生

DisruptOps構建于云中，用于云，并利用云優秀實踐，包括多個帳戶組織、無處不在的加密、平臺即服務產品，并大量利用API、容器、微服務和功能即服務。這種方法既可以更大限度地減少應用程序的攻擊面，又可以與云環境進行即時集成。DisruptOps的創始人近十年來一直倡導云原生架構的理念。

(8) SaaS交付

DisruptOps以SaaS服務交付，也就是說用戶環境中無需安裝任何軟件。一鍵式配置流程和內置的Ops庫，確保用戶不再需要投入資源來實施、構建、更新、修補或重新調整護欄的大小。因此，用戶可以把精力放回到構建、運行云和DevOps的業務中。

總結

多云和敏捷開發是云計算的熱點，DisruptOps以SaaS化的服務方式，通過對用戶的多個云資源進行安全與操作問題的快速檢測并自動修復，一方面節省了客戶上云的成本，另一方面實現對云基礎架構的持續安全控制，在安全、運營和成本等方面，給用戶帶來更大的收益。此外，借助自動化和服務編排的技術，推動云原生應用和DevSecOps的落地。