统一配置管理平台提供商CloudTruth今天透露,它已收购了云机密管理平台提供商Tuono,作为努力的一部分,旨在简化使用代码配置的基础设施的安全性。该交易的条款没有披露。
CloudTruth 首席执行官 Greg Arnette 表示,错误配置在云计算环境中很普遍。随着组织可以使用的云服务数量不断增加,IT 组织现在需要一种自我记录的方法来管理配置。Arnette 说,CloudTruth 平台将自动跟踪对 IT 环境所做的所有配置更改。
Kubernetes和微服务的兴起使事情变得更具挑战性,为错误配置云平台和应用程序带来了一系列额外机会。
刚刚筹集了 525 万美元的种子资金,Arnette 表示,配置挑战中最不被重视的方面之一是组织如何依赖部落知识,而部落知识在 DevOps 团队之间共享不均。他补充说,由于缺乏用于管理配置的集中存储库,因此很难将新成员加入这些 DevOps 团队,从而有更多机会犯错。
Tuono 添加了一个可以跨多个云服务部署的云原生机密管理平台。目标是提供一个配置管理平台,作为元数据包装器,与 Amazon Web Services (AWS) 的 Terraform 或 CloudFormation 等配置工具兼容。Arnette 说,这种方法减少了 DevOps 团队的认知负担,否则他们必须记住每个服务的配置方式和原因。
Arnette 补充说,另一个目标是使 DevOps 团队能够设置护栏,以减少发生错误配置错误的机会,同时继续使开发人员能够快速构建和部署应用程序。Arnette 指出,每个组织都需要决定在这些相互竞争的议程之间取得平衡的位置。
当今组织面临的挑战就是软件供应链的脆弱性——因为一系列网络安全攻击已经显而易见。组织正在采用 DevSecOps 最佳实践来更好地保护这些供应链。然而,DevOps 团队加快安全速度的速度不足以保护即将部署的应用程序。同时,云平台中可能部署了数百个应用程序,但存在不同程度的错误配置。作为解决整个软件供应链安全问题的努力的一部分,现在要求网络安全团队审查这些应用程序的配置情况。
随着网络安全团队审查应用程序开发和部署实践,目前尚不清楚对 DevOps 的强烈反对是否正在形成。毫无疑问,必须对这些流程进行调整,即使大多数组织都意识到他们对软件的依赖程度。问题是,更快地部署更多不安全的应用程序最终会适得其反。