從 Kubernetes 安全到云原生應(yīng)用安全

作者：云原生技術(shù)愛好者社區(qū) 2023-01-31 17:42:06

安全

云計算 盡管云原生架構(gòu)使組織能夠構(gòu)建和運(yùn)行可擴(kuò)展的動態(tài)應(yīng)用程序，但它并非沒有挑戰(zhàn)。

網(wǎng)站建設(shè)哪家好，找創(chuàng)新互聯(lián)公司！專注于網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、微信小程序、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了普陀免費(fèi)建站歡迎大家使用！

由于許多組織最初關(guān)注的是掃描和分析應(yīng)用程序代碼和基礎(chǔ)設(shè)施以獲取安全洞察力的機(jī)制，結(jié)果通常是一種反模式，其中一組復(fù)雜的重疊和松散集成的工具跨越開發(fā)和生產(chǎn)實際上阻礙了工程團(tuán)隊從解決開發(fā)過程中的安全問題。而且由于傳統(tǒng)的安全工具是為靜態(tài)環(huán)境構(gòu)建的，考慮到云原生應(yīng)用程序開發(fā)的動態(tài)和快速發(fā)展的性質(zhì)，它們的效率通常不是太高。

盡管云原生架構(gòu)使組織能夠構(gòu)建和運(yùn)行可擴(kuò)展的動態(tài)應(yīng)用程序，但它并非沒有挑戰(zhàn)。根據(jù)云安全聯(lián)盟 (CSA) 的說法，70% 的安全專業(yè)人員和工程團(tuán)隊都在努力“左移”，其中許多人無法識別反模式的形成，也無法理解云原生的開發(fā)、成本、治理、文化理念等。

認(rèn)識到范式轉(zhuǎn)變

正如在 CNCF 年度報告的細(xì)分中所討論的，55% 的受訪者每周或更頻繁地發(fā)布代碼，18% 每天多次發(fā)布代碼。微服務(wù)的持續(xù)采用和實施越來越多地挑戰(zhàn)組織——以及遺留應(yīng)用程序安全工具——  在整個開發(fā)過程中跟蹤軟件漏洞。實施 DevSecOps的工程團(tuán)隊實踐和自動化安全工具將更早發(fā)現(xiàn)安全風(fēng)險，節(jié)省開發(fā)人員時間，加快發(fā)布周期，并交付更安全和合規(guī)的代碼。

此外，安全事件（例如數(shù)據(jù)泄露、零日漏洞和隱私侵犯）對業(yè)務(wù)的影響只會繼續(xù)增長，這使得組織絕對有必要確保安全性成為數(shù)字化轉(zhuǎn)型和云原生應(yīng)用程序開發(fā)的關(guān)鍵部分。無論您是 Solar Winds、Zoom 還是受數(shù)據(jù)泄露影響的眾多其他公司中的任何一家，風(fēng)險都很高，后果從失去客戶到破產(chǎn)不等。在美國，平均數(shù)據(jù)泄露給企業(yè)造成 905 萬美元的損失，  Log4j 零日漏洞正在影響數(shù)億個應(yīng)用程序和設(shè)備， 數(shù)據(jù)隱私法規(guī)導(dǎo)致罰款 8.88 億美元（美元）. 組織（從字面上）不能再忽視云原生開發(fā)引入的不斷發(fā)展的威脅動態(tài)。

使開發(fā)人員具有安全意識

開發(fā)人員知道如何構(gòu)建應(yīng)用程序...... 但他們需要正確的工具、洞察力、流程和 文化 來安全地構(gòu)建它們。不幸的是，確保工程團(tuán)隊承擔(dān)安全開發(fā)的額外責(zé)任是實施 DevSecOps 最具挑戰(zhàn)性和最關(guān)鍵的部分之一。根據(jù) SANS 2022 DevSecOps 調(diào)查：創(chuàng)建一種文化以顯著改善組織的安全態(tài)勢，管理層支持是促成 DevSecOps 安全計劃成功的首要因素。組織需要一種結(jié)構(gòu)化的方法，讓領(lǐng)導(dǎo)者參與進(jìn)來、動員安全擁護(hù)者，并確保“安全”成為“完成的定義”不可或缺的一部分。

此外，通過確保工程、安全和運(yùn)營之間的一致性，鼓勵開發(fā)人員“提高技能”，并專注于學(xué)習(xí)和實施有助于提高 Web 應(yīng)用程序安全性的技術(shù)，更重要的是，使團(tuán)隊能夠更早地轉(zhuǎn)移安全性進(jìn)入設(shè)計和編碼階段。例如，  OWASP 云原生應(yīng)用安全 Top 10 提供有關(guān)云原生應(yīng)用程序最突出的安全風(fēng)險、所涉及的挑戰(zhàn)以及如何克服這些風(fēng)險的信息。OWASP Top 10 鼓勵將安全性集成到 CI/CD 管道、參數(shù)化查詢、驗證所有輸入、實施錯誤處理、改進(jìn)日志記錄策略、利用安全框架的優(yōu)勢、保護(hù)靜態(tài)數(shù)據(jù)和加密、減少敏感數(shù)據(jù)暴露等準(zhǔn)則，實施安全訪問控制等。

全面、優(yōu)先和可行的見解

由于許多原因——速度和靈活性，最顯著的是——軟件開發(fā)的發(fā)展已經(jīng)遠(yuǎn)遠(yuǎn)超出了單個開發(fā)人員從頭開始編寫代碼的貢獻(xiàn)。雖然從現(xiàn)有庫中組裝應(yīng)用程序并使用自定義代碼將它們連接在一起的做法很常見，但這并非完全沒有風(fēng)險：

• 全球 95% 以上的 IT 組織在任務(wù)關(guān)鍵型 IT 工作負(fù)載中使用開源軟件 (OSS)。
• 2021 年，軟件供應(yīng)鏈攻擊增長了 300% 以上。
• 每年在開源和第三方代碼中發(fā)現(xiàn)超過 20,000 個常見漏洞和暴露 (CVE)。

正如開發(fā)人員安全平臺的 5 大評估標(biāo)準(zhǔn)中所討論的 ：

• Cloud Native Instrumentation：提供深入了解應(yīng)用程序運(yùn)行時的工具，是非侵入式的，并且在云原生應(yīng)用程序中可以很好地擴(kuò)展
• 優(yōu)先和全面的安全洞察：提供應(yīng)用程序感知的上下文信息，例如跨越應(yīng)用程序代碼、依賴項、容器映像和 Web 界面的使用信息和堆棧跟蹤
• 開發(fā)人員教育：為開發(fā)人員提供及時的、上下文相關(guān)的和可操作的安全見解
• CI/CD 集成和開發(fā)人員體驗：將安全性和合規(guī)性測試無縫集成并自動化到 CI/CD 管道中了解安全對合規(guī)性的影響：通過滿足合規(guī)性目標(biāo)確保客戶數(shù)據(jù)的安全和隱私

越來越多地使用開源軟件——結(jié)合成熟的 DevOps 管道提供的敏捷性和靈活性——繼續(xù)突出開發(fā)速度超過安全性的領(lǐng)域。出于這個原因，工程團(tuán)隊?wèi)?yīng)該評估可以觀察正在運(yùn)行的應(yīng)用程序的工具，以便為開發(fā)人員提供上下文相關(guān)的應(yīng)用程序感知信息。這可能包括使用信息、堆棧跟蹤以及涵蓋應(yīng)用程序代碼、依賴項、容器鏡像和 Web 界面的全面見解。跨應(yīng)用程序組件的漏洞和不安全代碼的識別和關(guān)聯(lián)可以支持工程團(tuán)隊通過幫助開發(fā)人員發(fā)現(xiàn)、確定優(yōu)先級和補(bǔ)救最關(guān)鍵的安全風(fēng)險來防止警報疲勞。

自動化安全測試

當(dāng)大多數(shù)工程團(tuán)隊考慮采用 DevSecOps 時，跨開發(fā)和運(yùn)營無縫集成和自動化安全性的能力是一項必備功能。然而，許多傳統(tǒng)的應(yīng)用程序安全工具專注于通過耗時的“門”或檢查點(diǎn)提供反饋，給開發(fā)人員帶來了開銷和摩擦。（順便說一句，這是反模式的一個很好的例子?。[脫這種模式實際上代表了安全團(tuán)隊的重大轉(zhuǎn)變，安全團(tuán)隊習(xí)慣于強(qiáng)迫開發(fā)人員遵守他們的流程和工具。

然而，通過強(qiáng)調(diào)直接集成到現(xiàn)有 CI/CD 工作流和工具鏈中的技術(shù)和支持系統(tǒng)，目標(biāo)應(yīng)該是在開發(fā)和測試期間“自動”觀察正在運(yùn)行的應(yīng)用程序的行為，以提供安全洞察力，而不需要工程團(tuán)隊浪費(fèi)寶貴的資源開發(fā)時間上下文切換。事實上，回到之前的挑戰(zhàn)，確保每個功能測試都成為安全測試有助于將 DevOps 的“你構(gòu)建它，你運(yùn)行它”的理念擴(kuò)展到發(fā)現(xiàn)、解決安全漏洞。

標(biāo)題名稱：從 Kubernetes 安全到云原生應(yīng)用安全
網(wǎng)站網(wǎng)址：http://fisionsoft.com.cn/article/dpjocch.html