在剛剛閉幕的SaltConf18使用者大會上,SaltStack公司宣佈了關於SaltStack的產品最新發展計劃
阿新 • • 發佈:2018-12-13
一年一度的SaltStack使用者大會為鹽湖城的Salt Palace會議中心帶來了約600名客戶和合作夥伴,會議期間進行了為期數天的培訓、教學、操作研討會和演示。 在SaltConf18會議上,SaltStack公司宣佈了一款即將推出的新產品。
SaltStack的執行長Marc Chenn說,開發人員不得不面對一個“不斷變化”的生態系統並且必須高效地管理這些變化。
Pluralsight的首席營銷官Heather Zynczak談到了IT技能差距的擴大。 她的公司擁有大量各種線上技術課程,其中包括一些關於Salt的課程。 她告訴觀眾,“…技術是你的超級能力,所以儘量利用它。”她建議企業嘗試建立一個鼓勵學習的環境。 她說,管理層應以身作則,採取主動,使其工作場所可以為員工提供一個安全實驗環境。
當天的一項重要宣告是SaltStack for SecOps
“我們希望能夠不僅告訴你一些問題,而是確保你的系統安全並能持續保持安全,”他說。 “這意味著需要獲取重要的系統洞察,並將其轉化為關鍵的自動化操作,以使您對合規性有信心。”與SaltStack的其他應用程式一樣,它可以檢查數千臺機器是否存在薄弱環節或不安全的配置問題或是存在PCI、HIPAA、CIS法案認定的違規行為,並立即修復它們。
合規性的問題在於其複雜性。 正像與IT相關的任何其他事情一樣,在這個領域中也存在多個競爭性的標準,例如資訊保安中心(CIS)、美國國防資訊局的安全技術實施指南(DISA STIGS)和國家標準與技術研究院(NIST)。 初期,SecOps將支援這三個標準,並通過各種自動化機制以更容易地確定裝置是否不合規。
“有許多現有的解決方案可以評估合規性,其中一些可以進行修復”,SecOps產品的高階產品經理Mehul Revankar說。 “然而,許多人沒有提供適當的有權威的內容來保護這些資產,或者是它們的擴充套件性不是很好。 幾乎沒有人可以做所有這些事情,也沒人可以對特定情況做出反應。 這就是我們為SaltStack開發SecOps的原因。”
雖然該產品仍處於開發階段,但他還是提供了一個關於如何構建策略以檢查某些情況和基準的產品演示,然後關聯到特定的修復措施。 該產品具有一個吸引人的儀表板,可以綜合展示您的整體性合規趨勢,SaltStack Minions的狀態以及各種安全策略列表。
像其他SaltStack應用程式一樣,SecOps將安全合規性分解為一系列易於自動化的離散流程和步驟。 該產品的第一個版本將在明年第一季度推出,並將在隨後的季度進行更新,其中包括漏洞評估和補救,與Salt Reactor和Beacon的整合,以及最終在年底時支援匯入來自Qualys和Rapid7等漏洞管理供應商安全檢測資料的能力 。
來自SaltStack的Dave Boucha在另一場會議上說:“當你做正確的事情時,正確的事情就會完成。 我們都是安全自動化的未來。”
在上午的一般會議期間,我們也聽到了First Data的副總裁Amaya Souarez。 她曾擔任各種基礎設施管理職位,從微軟的全球信用卡發行商那裡瞭解到,他們將伺服器規模從數千臺擴充套件到了數十萬臺機器。
Amaya說,“First Data可能是一個難以工作的地方,因為我們在這裡有大量遺留基礎設施。 這意味著消防演習永遠不會停止。” 擁有如此廣泛的裝置會給她的工作人員帶來雙重負擔,他們得花費時間維護這些裝備,並在晚上自學他們想要實施的新技術。
“我們制定了一項以人為本的戰略,並利用自動化方式將員工的工作時間從苦差事中解放出來,” 她在談話中說道。 其中一部分是讓人們探索新技術並享受樂趣。“在這方面,她提到今年First Data舉辦了第一次黑客馬拉松,它帶來了來自世界各地的15支不同的團隊參加各種自動化工具上的虛擬活動。 他們的目的是為了創造一個學習的機會以及為她的基礎設施團隊各個成員提供更多共同合作的機會。
獲獎的團隊是為亞馬遜Alexa音箱實現了一套前端的編碼,以便能夠通過SaltStack自動化設施來響應Splunk監控事件。 Amaya提到,為黑客馬拉松做的一些專案正在考慮用於生產。 她提到自動化在這種轉變中起著關鍵作用。 “你不能自己解決這個問題,我們必須自動化,”她說。 First Data是SaltStack的狂熱使用者,例如自動化事件解決方案和通知。 “我組織中的很多人都已經熟悉了Python,所以使用Salt並不是那麼容易,”她告訴我。