乐趣区

关于云原生:如何在云原生环境中实现安全左移

在过来几年里,勒索软件始终是企业平安团队关怀的头等大事,而以后软件破绽问题数量也在逐步低头。基于云的应用程序和服务的爆发式增长以及数字化工作的减少,对黑客来说是一大利好,他们正在利用开发人员和 DevOps 团队疾速迭代的工作来满足他们的希图。有人预计说,过来十年里 40% 的零日攻打都产生在 2021 年。
 

造成这一景象增长的起因有很多。开发人员重复使用代码,使得谬误的配置和破绽在不同的程序中重复呈现,而且应用多云服务使得安全措施无奈残缺地施行,升高了代码的可见性。因而,开发人员和平安专家更偏向于在整个软件开发生命周期(SDLC)中更关注平安,特地是晚期阶段。
 

平安左移准则与挑战

零日攻打的激增导致人们对左移的趣味愈发浓重,认为这是一种使平安成为开发过程中优先级靠前的形式。左移文化将平安问题在软件生命周期的晚期阶段(即软件部署之前)引入,而不是在用户报告谬误之后再打补丁。这种后发制人的办法有助于打消那些可能影响应用程序平安情况的破绽,而这些破绽可能连防御者都很难检测进去。
 

当开发者在云平台上构建应用程序时,如 AWS、Azure 等,左移准则也可能加强安全性,因为在这些平台上,对自研代码和平台平安工具的可见性可能无限。在左移文化中,DevOps 将最小权限准则利用到云工作负载的日常工作中,以爱护网络基础设施,防止对这些工作流程授予过多权限。例如,在 Kubernetes 容器上设置基于身份的访问控制(RBAC)以加强集群上的最小权限模型并防止过多的权限,它们可能导致数据泄露。与此同时,从 CI/CD 工作站移除治理证书,阻止黑客利用流水线作为攻打媒介。
 

平安左移是一个很好的概念,但在执行中经常会遇到阻碍,次要是因为开发团队之间外部的矛盾——业务团队心愿放慢开发进度,但平安人员则更为审慎。这就导致了摩擦,开发人员正告说回绝拜访会影响他们的工作并导致部署延误,而平安分析师则放心太多的用户领有未经审核的管理权限会造成数据泄露。要解决这些摩擦须要转变观念,即 DevOps 须要将平安了解为开发流程的一部分,同时管理人员信赖开发人员曾经领有了安全意识。同时还须要将现有工具和培训与平安左移实际相结合,例如,满足 CISO 平安需要(赋予网络基础设施代码更大的可见性)和 DevOps 敏捷性需要(自动化平安防护和受权)的平台。最终目标是构建 DevSecOps 模型,将开发、平安和运维集中到一个麻利、平安、高效的工作流程中。
 

如何在云端实现平安左移?

以下是 4 个最佳实际,帮忙您在云端实现 DevSecOps:
 

获取深度可见性

随着企业常常在多云环境及混合云环境中工作,对软件资产的可见性通常会受到影响,这会导致难以及时觉察危险。企业可能清晰地晓得环境中的所有身份、权限、配置和资源,以及对特定资源的所有拜访门路,有助于建设云资产的上下文清单,以更好地治理它们并进行策略剖析。
 

危险优先级排序

风险管理是所有平安我的项目的外围实际,但来自多个云厂商及零碎的大量告警会让平安团队不堪重负。自动化工具能够在从开发到生产的整个云环境中帮忙团队搜寻并对危险进行优先级排序,发现关联问题并加重跨多个环境和阶段对告警进行手动分类的工作量,从而使开发及平安人员可能腾出工夫来解决更高优先级的危险修复工作。
 

即时拜访

零信赖架构曾经成为大多数平安进攻的规范,但因为治理拜访权限十分困难,因而零信赖架构经常蒙受挑战。即时拜访(JIT),即授予限时、可撤销的拜访权限,是一个有用的工具,能够建设一个零信赖的平安架构,并且可能保护最小权限策略。踊跃治理和监控开发者拜访云环境的技术工具,包含对特权流动的亲密审计跟踪,为平安提供了一个执行 JIT 拜访和零信赖的伎俩。
 

发现并阻止破绽和谬误配置

IaC 通过应用虚拟机、容器、微服务等,使软件在云中的部署更加灵便和高效。然而,在搭建云计算基础设施时,平安问题往往是预先才想到的,无论是否在生产环境中。企业应该扫描代码是否违反安全策略和存在其余危险,以便在它们进入生产之前进行修复。通过在开发工作流程中建设反馈和主动拦挡机制,DevOps 和平安团队能够升高代码中的平安危险。
 

与零信赖一样,左移正在成为保障网络安全的规范做法。然而,建设一个 DevSecOps 模型须要的不仅仅只是一个欲望。它须要执行该模式的实际、工具和培训,以及整个企业和内部云及平安合作伙伴的独特单干。只有个人的致力能力提供麻利企业所需的云平安保障。
 

参考链接:
https://devops.com/implementi…

退出移动版