概述
如今,许多企业都依靠 IT 自动化来管理日益复杂的基础架构、应用和混合云环境中的安全防护。在采用自动化策略时,许多企业或机构首先会使用基于社区的免费自动化解决方案。
这些解决方案可能在特定情况下有用,但通常缺乏企业环境所需的技术支持和安全功能。而在处理跨团队和跨领域的漏洞时,这个缺陷可能会造成昂贵的代价。
Ansible® 是许多企业或机构大规模自动化的中流砥柱。它是由广泛参与的社区使用开源软件开发而成:上游 Ansible 由 20 多个不同的社区项目组成,这些项目通常使用称为 AWX 的 GUI 和 API 工具捆绑在一起。
开源社区是现代 IT 运维和应用开发的基础,但并非所有版本的开源软件都同样适合存在安全问题的企业。如果将社区 Ansible 的多个发布版本与安全至上的红帽® Ansible 自动化平台进行比较,这一点显而易见。
利用社区支持的自动化工具也会有代价
没有任何环境是绝对安全的,但自动化工具在设计时必须要考虑到企业安全性,这一点在如今更加重要。软件供应链攻击可能造成财务和声誉的双重损失,而随着网络攻击日益猖獗,这种事件的发生频率正变得越来越高:
- 过去 3 年中,软件供应链攻击的年均次数激增了 742%1。
- 到 2025 年,45% 的企业或机构都将遭受供应链攻击2。
- 软件供应链泄露占数据泄露的五分之一3。
- 勒索攻击的赎金同比增长 71%4。
面对层出不穷的漏洞风险,社区提供支持的非托管开源工具难堪大任。开源存储库几乎可以托管在任何地方,这会导致缺乏统一性,使得更改难以跟踪,并且会增加丢失更新的可能性。
社区项目可能有一些防护措施,但这些措施可能彼此差异巨大,并且无法一致地应用在不同的项目上,会导致一些项目比其他项目更容易受到攻击。不过,这并不意味着所有使用开源组件的项目都不适合企业使用——只需要对其进行封装和测试,确保满足更严格的标准即可。
红帽资源
AWX 和 Ansible 自动化平台之间的安全差异
AWX 等社区项目并非为注重安全的企业或机构而设计,但 Ansible 自动化平台通过技术支持、性能测试、错误修复和其他标准化实践进行了安全强化,有助于实现更一致且更不易受攻击的企业环境。
支持
作为一个由社区提供支持的上游项目,AWX 缺少大多数企业期望从业务关键型自动化工具中获得的诸多功能。AWX 不包含针对安全漏洞的服务级别协议(SLA)保证、经独立软件供应商(ISV)认证的内容兼容性,也不支持版本之间的升级迁移。
Ansible 自动化平台包括:
- 通过红帽提供的增强故障排除和根本原因分析,全天候支持任何打包组件。
- 红帽客户门户的自助服务访问权限,门户里包含了许多日积月累获得的丰富知识。
- 优先获得红帽 Ansible 工程团队的漏洞修复和诸多功能。
性能测试
新版本的 AWX 由社区成员进行测试,但无法保证基于社区的测试将能提供企业环境所需的兼容性和性能。在红帽团队开发新版本 Ansible 自动化平台的整个过程中,他们会进行持续、严格的测试并记录性能改进,从而可靠地构建新功能,以满足企业不断变化的需求。
Ansible 自动化平台包括:
容器健康指数和安全等级
Ansible 自动化平台会发布受支持的执行环境,并对这些环境进行安全等级评分,称为容器健康指数(CHI)。这意味着这些容器镜像由红帽认证、维护和支持。而社区 AWX 不提供类似的服务。
- 如果执行环境的安全等级不是“A”,那么需要在5个工作日内将其恢复到 “A” 级以满足服务级别协议(SLA)。而 AWX 中的执行环境则无法获得这些。
安全开发生命周期实践
安全开发生命周期(SDL)是一套编定的标准化最佳实践,适用于红帽产品开发的特定阶段。Ansible 自动化平台在开发中会遵循 SDL。而由于 AWX 和独立的 Ansible 子项目的去中心化特性,它们不会遵循 SDL。
SDL 实践和标准的目标是:
- 减少已发布软件中的漏洞数量。
- 减轻未检测到或未解决的漏洞的潜在影响。
- 解决造成漏洞的根本原因,以防将来再次发生。
漏洞修复
Ansible 自动化平台中的漏洞会在中央数据库中进行跟踪,并且有一个开发团队每天都在努力修复这些漏洞。漏洞的解决优先级是根据直接用户反馈来确定的。
- 客户可以通过 access.redhat.com 查看红帽识别的漏洞修复。
- 客户可以在客户门户中发起工单,对于更加紧急的漏洞修复,也可以电话联系其本地支持中心。
而社区型 Ansible 不会集中跟踪漏洞,而且是由整个社区确定优先级。用户也可能很难在社区 Ansible 版本之间转换,因为版本之间的漏洞修复方式不同。
Ansible 自动化平台可始终如一地提供企业所需的个性化关注,从而快速处理漏洞并限制其对业务运维的可能影响。
事件驱动的 Ansible
Ansible 自动化平台包含了事件驱动的 Ansible,它可以通过标准化和经审核的流程自动执行各种任务,包括软件更新和修复。事件驱动的 Ansible 可以帮助您:
- 最大限度减少因工作量大、任务重复和供应链漏洞增加而导致的人为错误。
- 自动执行安全响应,在漏洞演变为紧迫问题之前快速解决。
为什么选择红帽 Ansible 自动化平台?
红帽 Ansible 自动化平台可为您提供一致的企业框架,帮助您大规模构建和运维 IT 自动化,同时在每一步优先考虑安全性。它使团队能够在企业中实现安全防护与合规自动化,并使用经过认证的自动化内容协同应对威胁,同时得到红帽的全天候支持。
红帽采用的开源开发模式,使红帽的工程师能与社区中的其他开发者紧密合作,共同推动和改进 Ansible 相关的十多个开源项目。上游社区成员共同构思和完善最优秀的想法,红帽则积极贡献代码并将上游项目打造成周全的产品,持续给予有力支持。
Ansible 自动化平台可简化封装与分发,同时确保所有组件之间具有可靠可信的互操作性。Ansible 自动化平台还提供 18 个月的支持生命周期,最大限度地减少了使用上游开源工具所带来的不确定性和安全漏洞。
此外,Ansible 自动化平台使用来自 CyberArk、IBM 和 Palo Alto Networks 等众多经认证合作伙伴的内容,可作为安全解决方案的集成点,帮助您自动化管理和集成各种外部安全防护技术。
红帽官方博客
获取有关我们的客户、合作伙伴和社区生态系统的最新信息。