长期以来,为应用程序分配身份一直是组织面临的挑战,也是启动Portshift希望帮助解决的问题。Portshift于11月20日正式启动,得到以色列网络安全加速器Team8和530万美元种子基金的支持。Portshift的核心技术在开发和部署阶段使用数字签名技术来验证和验证应用程序,以提高安全性。
“当我谈到云中的应用程序安全性时,我们认为现在是时候进行新的范式转换了,”Portshift首席执行官兼创始人Ran Ilany告诉eWEEK。“我们正在做的是构建一种方法,一种将安全性和操作结合在一起的解决方案,基本上是从一开始就从CI / CD开始,即开发生命周期的开始。
Team8由Nadav Zafrir,以色列的技术和情报股8200,这是在许多方面与安全局(NSA)相似,始建于2013年在2016年的前指挥官领导的采访与每周电脑报,Zafrir定义Team8为网络安全代工厂创建新公司以填补市场中的感知空白。Team8创建的公司包括Illusive Networks,Claroty和Hysolate。
Portshift如何运作
Ilany说,Portshift的工作方式是通过与任何持续集成/连续开发(CI / CD)系统集成的API。开发人员使用CI / CD系统(包括Jenkins和Jira等众多系统)来构建和部署应用程序。
Ilany说,使用Portshift,应用程序身份通过CI / CD生成,系统中嵌入了信息。嵌入的身份信息可以定义允许给定应用程序运行的位置以及允许应用程序与之通信的其他服务。
“Portshift平台所做的是从CI / CD获取信息并生成身份,对应用程序进行数字签名,然后将其部署到云端,”他说。“因此,当两个不同的应用程序在云中进行通信时,它们具有谁签署应用程序的上下文。”
应用程序标识的数字签名是通过基于标准的x.509数字证书和TLS(传输层安全性)协议完成的。Ilany解释说,Portshift检查证书以确保签名有效,然后允许流量流继续。
“你可以把它想象成一个代理,但基本上Portshift是与云中的实际主机图像一起分发的,它实际上是与DevOps工具集成的CI / CD食谱或配方的一部分,”Ilany说。“我们是一个与DevOps编排工具紧密绑定的解决方案,因此DevOps部署这将是非常自然的。”
Ilany表示,Portshift的核心愿景是为云应用提供威胁防御功能。因此,当发现具有未正确签名的应用程序的策略违规时,Portshift可以隔离违规应用程序,因此它无法通过阻止进程与其他应用程序通信,因此无法在特定环境中运行。
通常建议使用基于角色的访问控制(RBAC)来帮助提供对云应用程序的基于身份的访问。Ilany认为Portshift的技术是对组织现有RBAC部署的补充。
“我们的平台实际上可以导入用户的身份,将其转换为机器的身份,然后从那里根据RBAC对进程之间的访问进行身份验证,”他说。