譯者 | 布加迪
為龍門等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計制作服務(wù)��,及龍門網(wǎng)站建設(shè)行業(yè)解決方案��。主營業(yè)務(wù)為網(wǎng)站設(shè)計�、做網(wǎng)站�、龍門網(wǎng)站設(shè)計,以傳統(tǒng)方式定制建設(shè)網(wǎng)站���,并提供域名空間備案等一條龍服務(wù)����,秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)�。我們深信只要達到每一位用戶的要求,就會得到認可��,從而選擇與我們長期合作�。這樣,我們也可以走得更遠��!
審校 | 孫淑娟
安全左移(shift security left)這股熱潮使開發(fā)人員能夠及早發(fā)現(xiàn)并修復缺陷�����。當應(yīng)用程序部署到生產(chǎn)環(huán)境后��,它可以盡可能擺脫當時已知的漏洞……但安全左移只是一個開端�。漏洞出現(xiàn)在已經(jīng)部署和運行的軟件組件中。從開發(fā)環(huán)境到生產(chǎn)環(huán)境�����,組織需要一套綜合全面的方法來規(guī)避���。雖然沒有通用的方法實現(xiàn)端到端安全性�,但有幾個寶貴的策略可以幫助您實現(xiàn)這個目標��。
全面的端到端云原生安全策略有三個“P”����,有助于全面彌補安全缺口。
- 堅持不懈(Persistence)
- 以生產(chǎn)環(huán)境為中心(Production-centric)
- 確定優(yōu)先級(Prioritization)
堅持不懈
新的漏洞層出不窮���,隨時可能冒出來���。發(fā)現(xiàn)漏洞所需的時間從數(shù)小時到數(shù)年不等。GitHub發(fā)現(xiàn)軟件包中的安全漏洞平均需要4年的時間��,而開發(fā)和分發(fā)修復程序另需要14周的時間�。漏洞被發(fā)現(xiàn)的時間跨度非常長,需要持續(xù)的掃描����、監(jiān)控和分析,這需要保持警惕和堅持不懈���。
哪怕使用最好的漏洞掃描工具���,您也應(yīng)該明白:左移掃描無法檢測一切�����,因為它只能洞察特定時間點的安全性�。即使相同的代碼現(xiàn)在被認為是安全的也無法保證將來不出現(xiàn)漏洞��。在整個CI/CD生命周期中堅持掃描和檢測工作的安全團隊才有能力有效地修復威脅�。
以生產(chǎn)環(huán)境為中心
左移可以幫助組織在開發(fā)應(yīng)用程序時心系安全。但是無論應(yīng)用程序離開開發(fā)環(huán)境后����,您對其安全性有多大信心,都無法保證它在生產(chǎn)環(huán)境中依然安全���。
我們經(jīng)?����?吹?���,漏洞常常在部署到生產(chǎn)環(huán)境后暴露無遺。Apache Struts���、Heartbleed以及最近的Log4j就是幾個典型例子,后者于2013年首次發(fā)布�����,但直到去年才被發(fā)現(xiàn)��。
此外��,生產(chǎn)環(huán)境不僅包含您部署的代碼����,還包括以下內(nèi)容:
- 從外部存儲庫提取的容器鏡像。
- 部署軟件時��,安裝的運行時Sidecar和集成工具�。
- 沒有像您的代碼那樣經(jīng)過嚴格檢查就部署的第三方應(yīng)用程序,比如應(yīng)用程序服務(wù)器�����、儀表板�、代理和防火墻���。
- 不受DevOps團隊控制且無法通過左移工具掃描的基礎(chǔ)架構(gòu)。
確定生產(chǎn)環(huán)境中應(yīng)用程序的上下文是保護云原生應(yīng)用程序的一個重要部分����。還有哪些其他組件、代碼和基礎(chǔ)架構(gòu)與該應(yīng)用程序進行交互?您需要不同的理念和額外的工具集來全面彌補安全缺口���。
確定優(yōu)先級
掃描生產(chǎn)系統(tǒng)中的漏洞可能會發(fā)現(xiàn)成百上千個易受攻擊的組件����,但檢測到的漏洞不一定就與高風險威脅有關(guān)��,這是由于脆弱性不等同于可利用性����。
為了更好地了解漏洞帶來的風險,有必要了解漏洞在應(yīng)用程序上下文中的位置����。是否可以通過特定方式使用應(yīng)用程序來利用漏洞?是否可以從外部攻擊面訪問易受攻擊的應(yīng)用程序,或者潛在的攻擊者是否需要先獲得一定程度的內(nèi)部控制權(quán)才能訪問它?
通過確定最嚴重的漏洞���,您可以為修復工作確定優(yōu)先級�����。團隊可以從成百上千個潛在漏洞中過濾掉良性問題(以及它們引發(fā)的所有警報)���,優(yōu)先考慮極少數(shù)破壞很嚴重的漏洞,因為它們現(xiàn)在就對您的安全構(gòu)成了最大風險�。如果專注于被利用的風險,并按嚴重程度為修復工作確定優(yōu)先級��,連人手不足的小團隊都能有效地保護大批的云原生應(yīng)用程序�����。
結(jié)論
綜上所述����,安全左移是一種非常值得采用的做法,但光靠它還不夠�。只有堅持不懈、關(guān)注生產(chǎn)環(huán)境以及優(yōu)先考慮對貴組織真正構(gòu)成風險的小部分漏洞��,您才能以更大的把握管理貴組織的安全狀況����。
原文標題:??Understand the 3 P’s of Cloud Native Security??�����,作者:Owen Garrett
本文標題:夯實云原生安全的“3P”
文章URL:
http://uogjgqi.cn/article/ccschps.html
