定价

通过红帽 Ansible 自动化平台获得安全防护

复制 URL

如今,许多企业都依靠 IT 自动化来管理日益复杂的基础架构、应用和混合云环境中的安全防护。在采用自动化策略时,许多企业或机构首先会使用基于社区的免费自动化解决方案。 

这些解决方案可能在特定情况下有用,但通常缺乏企业环境所需的技术支持和安全功能。而在处理跨团队和跨领域的漏洞时,这个缺陷可能会造成昂贵的代价。

Ansible® 是许多企业或机构大规模自动化的中流砥柱。它是由广泛参与的社区使用开源软件开发而成:上游 Ansible 由 20 多个不同的社区项目组成,这些项目通常使用称为 AWX 的 GUI 和 API 工具捆绑在一起。 

开源社区是现代 IT 运维和应用开发的基础,但并非所有版本的开源软件都同样适合存在安全问题的企业。如果将社区 Ansible 的多个发布版本与安全至上的红帽® Ansible 自动化平台进行比较,这一点显而易见。

查看 Ansible、AWX 和 Ansible 自动化平台的全面比较

没有任何环境是绝对安全的,但自动化工具在设计时必须要考虑到企业安全性,这一点在如今更加重要。软件供应链攻击可能造成财务和声誉的双重损失,而随着网络攻击日益猖獗,这种事件的发生频率正变得越来越高:

  • 过去 3 年中,软件供应链攻击的年均次数激增了 742%1
  • 到 2025 年,45% 的企业或机构都将遭受供应链攻击2
  • 软件供应链泄露占数据泄露的五分之一3
  • 勒索攻击的赎金同比增长 71%4

面对层出不穷的漏洞风险,社区提供支持的非托管开源工具难堪大任。开源存储库几乎可以托管在任何地方,这会导致缺乏统一性,使得更改难以跟踪,并且会增加丢失更新的可能性。

社区项目可能有一些防护措施,但这些措施可能彼此差异巨大,并且无法一致地应用在不同的项目上,会导致一些项目比其他项目更容易受到攻击。不过,这并不意味着所有使用开源组件的项目都不适合企业使用——只需要对其进行封装和测试,确保满足更严格的标准即可。

1第 8 次软件供应链状况年度报告”。Sonatype.com,2023 年 8 月。
2 Moore, Susan。“2022 年网络安全七大趋势”。Gartner,2023 年 8 月。
3反击数据泄露”。IBM。2023 年 8 月 1 日。
4 Olson, Ryan。“今年的平均赎金增加了 71%,接近 100 万美元”。Palo Alto Networks,2023 年 6 月。

 

红帽资源

AWX 等社区项目并非为注重安全的企业或机构而设计,但 Ansible 自动化平台通过技术支持、性能测试、错误修复和其他标准化实践进行了安全强化,有助于实现更一致且更不易受攻击的企业环境。

使用红帽 Ansible 自动化平台和 Ansible 内容集增强自动化安全性。视频时长:4:59。

支持

作为一个由社区提供支持的上游项目,AWX 缺少大多数企业期望从业务关键型自动化工具中获得的诸多功能。AWX 不包含针对安全漏洞的服务级别协议(SLA)保证、经独立软件供应商(ISV)认证的内容兼容性,也不支持版本之间的升级迁移。

Ansible 自动化平台包括:

  • 通过红帽提供的增强故障排除和根本原因分析,全天候支持任何打包组件。
  • 红帽客户门户的自助服务访问权限,门户里包含了许多日积月累获得的丰富知识。
  • 优先获得红帽 Ansible 工程团队的漏洞修复和诸多功能。

性能测试

新版本的 AWX 由社区成员进行测试,但无法保证基于社区的测试将能提供企业环境所需的兼容性和性能。在红帽团队开发新版本 Ansible 自动化平台的整个过程中,他们会进行持续、严格的测试并记录性能改进,从而可靠地构建新功能,以满足企业不断变化的需求。

Ansible 自动化平台包括:

  • 非工作时间 QA 和集成测试。
  • 定期对产品进行渗透测试,防止新的安全漏洞被利用。
  • 自动化控制器自动化网格进行压力测试,以横向扩展 Ansible Playbook 和其他内容的执行。

容器健康指数和安全等级

Ansible 自动化平台会发布受支持的执行环境,并对这些环境进行安全等级评分,称为容器健康指数(CHI)。这意味着这些容器镜像由红帽认证、维护和支持。而社区 AWX 不提供类似的服务。

  • 如果执行环境的安全等级不是“A”,那么需要在5个工作日内将其恢复到 “A” 级以满足服务级别协议(SLA)。而 AWX 中的执行环境则无法获得这些。

安全开发生命周期实践

安全开发生命周期(SDL)是一套编定的标准化最佳实践,适用于红帽产品开发的特定阶段。Ansible 自动化平台在开发中会遵循 SDL。而由于 AWX 和独立的 Ansible 子项目的去中心化特性,它们不会遵循 SDL。

SDL 实践和标准的目标是:

  • 减少已发布软件中的漏洞数量。
  • 减轻未检测到或未解决的漏洞的潜在影响。
  • 解决造成漏洞的根本原因,以防将来再次发生。 

漏洞修复

Ansible 自动化平台中的漏洞会在中央数据库中进行跟踪,并且有一个开发团队每天都在努力修复这些漏洞。漏洞的解决优先级是根据直接用户反馈来确定的。 

  • 客户可以通过 access.redhat.com 查看红帽识别的漏洞修复。
  • 客户可以在客户门户中发起工单,对于更加紧急的漏洞修复,也可以电话联系其本地支持中心。

而社区型 Ansible 不会集中跟踪漏洞,而且是由整个社区确定优先级。用户也可能很难在社区 Ansible 版本之间转换,因为版本之间的漏洞修复方式不同。 

Ansible 自动化平台可始终如一地提供企业所需的个性化关注,从而快速处理漏洞并限制其对业务运维的可能影响。 

事件驱动的 Ansible

Ansible 自动化平台包含了事件驱动的 Ansible,它可以通过标准化和经审核的流程自动执行各种任务,包括软件更新和修复。事件驱动的 Ansible 可以帮助您:

  • 最大限度减少因工作量大、任务重复和供应链漏洞增加而导致的人为错误。
  • 自动执行安全响应,在漏洞演变为紧迫问题之前快速解决。

红帽 Ansible 自动化平台可为您提供一致的企业框架,帮助您大规模构建和运维 IT 自动化,同时在每一步优先考虑安全性。它使团队能够在企业中实现安全防护与合规自动化,并使用经过认证的自动化内容协同应对威胁,同时得到红帽的全天候支持。

红帽采用的开源开发模式,使红帽的工程师能与社区中的其他开发者紧密合作,共同推动和改进 Ansible 相关的十多个开源项目。上游社区成员共同构思和完善最优秀的想法,红帽则积极贡献代码并将上游项目打造成周全的产品,持续给予有力支持。

Ansible 自动化平台可简化封装与分发,同时确保所有组件之间具有可靠可信的互操作性。Ansible 自动化平台还提供 18 个月的支持生命周期,最大限度地减少了使用上游开源工具所带来的不确定性和安全漏洞。

此外,Ansible 自动化平台使用来自 CyberArkIBMPalo Alto Networks 等众多经认证合作伙伴的内容,可作为安全解决方案的集成点,帮助您自动化管理和集成各种外部安全防护技术。

四招教会您如何与经理讨论迁移到 Ansible 自动化平台

中心

红帽官方博客

获取有关我们的客户、合作伙伴和社区生态系统的最新信息。

所有红帽产品试用

我们的免费试用可让您亲身体验红帽的产品功能,为获得认证做好准备,或评估某个产品是否适合您的企业。

扩展阅读

什么是虚拟基础架构管理?自动化能提供哪些帮助?

虚拟基础架构管理是指协调软件、IT 资源和其他工具,在虚拟机和相关 IT 环境的整个生命周期内对其进行管理。

一文了解什么是 Ansible 模块?

Ansible® 模块是一个用于在本地计算机、API 或远程主机上执行操作的小型程序。模块通常以 Python 代码的形式表示,并且会包含一些元数据,这些元数据定义了在何时、何处执行特定自动化任务。

哪种红帽 Ansible 自动化平台部署选项适合您?

如何安装、管理和维护 Ansible® 自动化平台部署取决于企业组织所需的灵活性或定制化程度。

红帽 Ansible 自动化平台 相关资源

特色产品